Вам письмо: как изобретательные хакеры ToddyCat пробираются в системы азиатских компаний

Исследователи выявили масштабную кампанию под названием «Stayin’ Alive», нацеленную на правительственные организации и телекоммуникационные компании ряда азиатских стран. По данным специалистов из Check Point Software Technologies, атаки ведутся с 2021 года и по сей день группировкой китайских хакеров ToddyCat.

Основные жертвы находятся в Казахстане, Узбекистане, Пакистане и Вьетнаме. Злоумышленники подходят к делу творчески: зачастую они разрабатывают уникальные инструменты для каждой жертвы, чтобы исследователям было труднее связать инциденты друг с другом. Это также помогает эффективнее обходить механизмы защиты. В разработке учитывается множество индивидуальных характеристик: масштабы организации, язык, регион и.т.д.

Атака, как правило, начинается с таргетированной рассылки фишинговых электронных писем. Во вложениях содержатся ZIP-архивы с вредоносными исполняемыми файлами с цифровой подписью. Эти файлы маскируются под безобидные документы: договоры, счета на оплату, коммерческие предложения.

При запуске вредоносного кода злоумышленники эксплуатируют уязвимость CVE-2022-23748 в программном обеспечении Audinate Dante Discovery. Этот баг позволяет незаметно загрузить программу CurKeep, минуя стандартные средства обнаружения.

CurKeep представляет собой бэкдор размером 10 Кб, который устанавливает постоянное присутствие в системе, собирает данные и ждёт команд от хакеров.

В атаках также задействуются различные загрузчики типа CurLu, CurCore и CurLog. Именно с их помощью выполняется произвольный код и загружаются дополнительные зловредные модули.

Один из самых изощрённых инструментов — бэкдор StylerServ, который незаметно отслеживает сетевой трафик на пяти портах (с 60810 по 60814) и скачивает зашифрованный конфигурационный пакет stylers.bin с дальнейшими инструкциями.

Эксперты Check Point предупреждают, что злоумышленники постоянно совершенствуют свои методы, поэтому реальные масштабы компании могут оказаться гораздо шире.

Несмотря на различия в исходном коде используемых инструментов, все они подключаются к единой инфраструктуре управления и контроля. То, что эта инфраструктура принадлежит именно ToddyCat, ранее установила команда лаборатории Касперского .