DownEx Malware

Според изследователите на Infosec правителствените организации в Централна Азия са се превърнали във фокус на целенасочена и сложна шпионска кампания. Тази операция използва нов тип злонамерен софтуер, наречен DownEx, който досега не беше известен на експертите. Засега атаките не са приписвани на конкретна APT (Advanced Persistent Threat) или киберпрестъпна група, но доказателства сочат участието на актьори, базирани в Русия.

Първият докладван инцидент, включващ зловреден софтуер DownEx, се случи в Казахстан, където беше извършена силно насочена атака срещу чуждестранни правителствени институции в края на 2022 г. По-късно беше наблюдавана друга атака в Афганистан. Използването на документ с дипломатическа тема за примамване на жертви и фокусът на нападателите върху събирането на чувствителни данни силно подсказват участието на спонсорирана от държавата група. Все още обаче не е потвърдена самоличността на хакерската екипировка. Операцията все още продължава и може да има нови атаки, предупреждават изследователите от Bitdefender, които публикуваха доклад за заплахата и свързаната с нея атака.

Веригата от атаки срещу зловреден софтуер на DownEx започва с примамливи съобщения

Подозира се, че първоначалното средство за проникване за шпионската кампания е включвало фишинг имейл, носещ заплашителен полезен товар. Споменатият полезен товар е изпълним файл за зареждане, маскиран като документ на Microsoft Word. След отваряне на прикачения файл се извличат два файла, единият от които е фалшив документ, който се показва на жертвата като примамка. Едновременно с това във фонов режим се изпълнява файл със злонамерено HTML приложение (.HTA), съдържащ VBScript код.

HTA файлът е предназначен за установяване на контакт с отдалечен сървър за командване и управление (C2, C&C) за получаване на полезния товар от следващия етап. Точното естество на този инструмент за злонамерен софтуер все още не е разкрито, но се смята, че е задна врата, натоварена със задачата да установи устойчивост на пробитата система. Това предполага, че кампанията се провежда от силно организиран и усъвършенстван заплашващ актьор, най-вероятно спонсорирана от държавата група, с фокус върху извличането на данни от чужди държавни институции.

Допълнителни заплашителни инструменти, внедрени заедно със зловреден софтуер DownEx

Наблюдавани са две различни версии на зловредния софтуер DownEx. Първият вариант използва междинен VBScript за събиране и изпращане на файлове до отдалечен сървър под формата на ZIP архив. Вторият вариант се изтегля чрез VBE скрипт, наречен slmgr.vibe, и използва VBScript вместо C++. Въпреки различните езици за програмиране, втората версия запазва същите злонамерени възможности като първата.

Вторият вариант на злонамерен софтуер DownEx използва техника за атака без файлове. Това означава, че DownEx скриптът се изпълнява само в паметта и никога не докосва диска на заразеното устройство. Тази техника подчертава нарастващата сложност на съвременните кибератаки и показва, че киберпрестъпниците разработват нови методи, за да направят своите атаки по-ефективни и по-трудни за откриване.