DownEx Malware
وفقًا لباحثي إنفوسك ، أصبحت المنظمات الحكومية في آسيا الوسطى محور حملة تجسس معقدة ومستهدفة. تستخدم هذه العملية نوعًا جديدًا من البرامج الضارة يسمى DownEx ، والذي لم يكن معروفًا للخبراء من قبل. لم تُنسب الهجمات حتى الآن إلى جماعة APT (التهديد المستمر المتقدم) أو مجموعة المجرمين الإلكترونيين ، لكن الأدلة تشير إلى تورط جهات فاعلة مقرها في روسيا.
وقعت أول حادثة تم الإبلاغ عنها تتعلق ببرنامج DownEx الضار في كازاخستان ، حيث تم شن هجوم شديد الاستهداف ضد مؤسسات حكومية أجنبية في أواخر عام 2022. وقد لوحظ هجوم آخر في وقت لاحق في أفغانستان. يشير استخدام وثيقة ذات موضوع دبلوماسي لجذب الضحايا وتركيز المهاجمين على جمع البيانات الحساسة بقوة إلى تورط مجموعة ترعاها الدولة. ومع ذلك ، لم يتم بعد تأكيد هوية جماعة القرصنة. العملية لا تزال مستمرة ، وقد تحدث هجمات أخرى ، حذر الباحثون في Bitdefender ، الذين أصدروا تقريرًا عن التهديد ونشاط الهجوم المرتبط به.
تبدأ سلسلة هجوم البرامج الضارة DownEx برسائل إغراء
يُشتبه في أن الوسائل الأولية للتطفل لحملة التجسس تضمنت رسالة بريد إلكتروني تصيد بالرمح تحمل حمولة تهديد. الحمولة المذكورة عبارة عن أداة تحميل قابلة للتنفيذ متخفية في هيئة مستند Microsoft Word. بمجرد فتح المرفق ، يتم استخراج ملفين ، أحدهما عبارة عن مستند مزيف يظهر للضحية على أنه شرك. في نفس الوقت ، يتم تشغيل ملف تطبيق HTML ضار (.HTA) يحتوي على كود VBScript في الخلفية.
تم تصميم ملف HTA لإنشاء اتصال بخادم الأوامر والتحكم (C2 ، C&C) عن بُعد للحصول على حمولة المرحلة التالية. لم يتم الكشف عن الطبيعة الدقيقة لأداة البرمجيات الخبيثة هذه بعد ، ولكن يُعتقد أنها باب خلفي مكلف بإثبات الثبات على النظام المخترق. يشير هذا إلى أن الحملة يتم تنفيذها من قبل جهة تهديد عالية التنظيم ومتطورة ، وعلى الأرجح مجموعة ترعاها الدولة ، مع التركيز على نقل البيانات من مؤسسات حكومية أجنبية.
نشر أدوات تهديد إضافية جنبًا إلى جنب مع برنامج DownEx الضار
تمت ملاحظة نسختين مختلفتين من برنامج DownEx الضار. يستخدم المتغير الأول VBScript وسيطًا لجمع الملفات وإرسالها إلى خادم بعيد في شكل أرشيف مضغوط. يتم تنزيل المتغير الثاني عبر برنامج نصي VBE يسمى slmgr.vibe ويستخدم VBScript بدلاً من C ++. على الرغم من اختلاف لغات البرمجة ، فإن الإصدار الثاني يحتفظ بنفس القدرات الخبيثة كالأول.
يستخدم متغير DownEx Malware الثاني تقنية هجوم بدون ملفات. هذا يعني أن البرنامج النصي DownEx يتم تنفيذه في الذاكرة فقط ولا يلمس أبدًا قرص الجهاز المصاب. تسلط هذه التقنية الضوء على التطور المتزايد للهجمات الإلكترونية الحديثة وتوضح أن مجرمي الإنترنت يطورون أساليب جديدة لجعل هجماتهم أكثر فعالية ويصعب اكتشافها.
