Các tổ chức chính phủ và tập đoàn viễn thông lớn tại châu Á đã trở thành mục tiêu trong một chiến dịch tấn công diễn ra kể từ năm 2021, bao gồm Việt Nam, Uzbekistan, Pakistan và Kazakhstan. Công ty an ninh mạng Check Point đã theo dõi và ghi nhận những cuộc tấn công này dưới tên Stayin’ Alive.
Điều đáng chú ý là cơ sở hạ tầng của chiến dịch này tương đồng với cơ sở hạ tầng được sử dụng bởi ToddyCat – nhóm tấn công APT ở Trung Quốc nổi tiếng về những cuộc tấn công các cơ quan chính phủ, quân đội ở châu Âu và châu Á từ tháng 12 năm 2020.
Chuỗi tấn công Stayin’ Alive bắt đầu bằng một email lừa đảo (spear-phishing) chứa một tệp ZIP đính kèm cùng một tập lệnh thực thi hợp pháp sử dụng DLL side-loading để tải một backdoor có tên CurKeep thông qua dal_keepalives.dll – một DLL giả mạo nằm trong tệp lưu trữ. CurlKeep sẽ gửi thông tin về máy nạn nhân đến một máy chủ từ xa, thực thi các lệnh được gửi bởi máy chủ và ghi lại phản hồi từ máy chủ vào một tệp trên hệ thống.
Việc kiểm tra chi tiết máy chủ C2 (Command & Control) đã phát hiện những biến thể khác của CurKeep là CurLu, CurCore và CurLog. Ngoài ra còn có một phần mềm đặc biệt tên là StylerServ lắng nghe trên 5 cổng khác nhau (60810, 60811, 60812, 60813 và 60814) để chấp nhận kết nối từ xa và nhận tệp cấu hình được mã hóa.
Mặc dù vẫn chưa có bằng chứng rõ ràng chỉ ra mối quan hệ giữa Stayin’ Alive và ToddyCat, nhưng kết quả cho thấy cả hai đều sử dụng cùng một cơ sở hạ tầng để tấn công vào một nhóm các mục tiêu tương tự nhau.
Việc sử dụng các trình tải và công cụ tải về tạm thời đang ngày càng trở nên phổ biến hơn. Điều này khiến cho quá trình phát hiện và xác định nguồn gốc trở nên khó khăn hơn rất nhiều vì chúng thường xuyên được thay thế và cũng có thể đã được viết lại từ đầu.
Nguồn:thehackernews.com
