DownEx Malware

Podle výzkumníků infosec se vládní organizace ve Střední Asii staly středem cílené a komplexní špionážní kampaně. Tato operace využívá nový typ malwaru s názvem DownEx, který byl odborníkům dříve neznámý. Útoky zatím nebyly připisovány konkrétní APT (Advanced Persistent Threat) nebo kyberzločinecké skupině, ale důkazy ukazují na zapojení aktérů sídlících v Rusku.

K prvnímu hlášenému incidentu s malwarem DownEx došlo v Kazachstánu, kde byl koncem roku 2022 zahájen vysoce cílený útok proti zahraničním vládním institucím. Další útok byl později pozorován v Afghánistánu. Použití dokumentu s diplomatickou tematikou k nalákání obětí a zaměření útočníků na shromažďování citlivých dat silně naznačuje zapojení státem podporované skupiny. Identita hackerského oblečení však zatím nebyla potvrzena. Operace stále probíhá a může dojít k dalším útokům, varují výzkumníci z Bitdefenderu, kteří zveřejnili zprávu o hrozbě a související útočné aktivitě.

DownEx Malware Attack Chain začíná lure Messages

Existuje podezření, že počáteční prostředky vniknutí do špionážní kampaně zahrnovaly spear-phishing e-mail s hrozivým nákladem. Uvedené užitečné zatížení je spustitelný soubor zavaděče maskovaný jako dokument Microsoft Word. Jakmile je příloha otevřena, jsou extrahovány dva soubory, z nichž jeden je falešný dokument, který je oběti ukázán jako návnada. Současně na pozadí běží škodlivý soubor HTML aplikace (.HTA) obsahující kód VBScript.

Soubor HTA je navržen k navázání kontaktu se vzdáleným serverem Command-and-Control (C2, C&C) za účelem získání užitečného zatížení další fáze. Přesná povaha tohoto malwarového nástroje nebyla dosud zveřejněna, ale má se za to, že jde o zadní vrátka, jejímž úkolem je zajistit trvalost na narušeném systému. To naznačuje, že kampaň vede vysoce organizovaný a sofistikovaný aktér ohrožení, pravděpodobně státem podporovaná skupina, se zaměřením na exfiltraci dat ze zahraničních vládních institucí.

Vedle malwaru DownEx nasazeny další nástroje pro ohrožení

Byly pozorovány dvě různé verze malwaru DownEx. První varianta používá prostřední VBScript ke shromažďování a odesílání souborů na vzdálený server ve formě ZIP archivu. Druhá varianta se stahuje přes skript VBE s názvem slmgr.vibe a místo C++ používá VBScript. Navzdory různým programovacím jazykům si druhá verze zachovává stejné škodlivé schopnosti jako ta první.

Druhá varianta DownEx Malware využívá techniku útoku bez souborů. To znamená, že DownEx skript je spuštěn pouze v paměti a nikdy se nedotkne disku infikovaného zařízení. Tato technika podtrhuje rostoucí sofistikovanost moderních kybernetických útoků a ukazuje, že kyberzločinci vyvíjejí nové metody, aby jejich útoky byly efektivnější a hůře odhalitelné.