Allerta hacker ToddyCat: nuova campagna sfrutta malware "usa e getta"

Una campagna malware recentemente scoperta e denominata Stayin’ Alive, prende di mira organizzazioni governative e fornitori di servizi di telecomunicazione in tutta l’Asia dal 2021, utilizzando un’ampia varietà di malware “usa e getta” per eludere il rilevamento.

La maggior parte degli obiettivi della campagna individuati dalla società di sicurezza informatica Check Point hanno sede in paesi come Kazakistan, Uzbekistan, Pakistan e Vietnam ma, essendo l’azione ancora in corso, non è impossibile che siano anche altri i paesi coinvolti.

Gli attacchi sembrano provenire da un gruppo di hacker cinesi, dediti al cyberspionaggio, noto come ToddyCat. Le azioni di questo collettivo, nella maggior parte dei casi, si basano su messaggi di spear phishing, attraverso cui diffondono allegati dannosi per gestire al meglio diversi loader malware e backdoor.

I ricercatori spiegano che gli autori delle minacce utilizzano svariati tipi diversi di strumenti personalizzati, che ritengono siano monouso, per aiutare a eludere il rilevamento e impedire di collegare gli attacchi tra loro.

I malware “usa e getta” rendono difficile il lavoro degli esperti di sicurezza

Per Checkpoint “L’ampio insieme di strumenti descritti in questo rapporto sono realizzati su misura e probabilmente facilmente eliminabili. Di conseguenza, non mostrano chiare sovrapposizioni di codice con alcun insieme di strumenti conosciuti, nemmeno tra loro“.

L’attacco parte con un’e-mail di spear phishing creata per prendere di mira individui specifici in organizzazioni chiave, invitandoli ad aprire un file ZIP allegato.

L’archivio contiene un eseguibile firmato digitalmente denominato in modo che corrisponda al contesto dell’e-mail e una DLL dannosa che sfrutta una vulnerabilità (CVE-2022-23748) nel software Dante Discovery di Audinate per caricare lateralmente il malware CurKeep sul sistema.

CurKeep è una backdoor da 10kb che stabilisce la persistenza sul dispositivo violato, invia informazioni di sistema al server di comando e controllo e quindi attende i comandi dei cybercriminali.

La backdoor può estrarre un elenco di directory per i file di programma della vittima, indicando quale software è installato sul computer, eseguire comandi e inviare l’output al server e gestire attività basate su file, il tutto a seconda della volontà degli hacker di ToddyCat.

Oltre a CurKeep, la campagna utilizza altri strumenti, principalmente loader, eseguiti principalmente tramite metodi di sideloading di DLL simili. Tutto ciò rende ancora più imprevedibili questi malware e adattabile alle esigenze dei cybercriminali.