Κακόβουλο λογισμικό DownEx

Σύμφωνα με ερευνητές του infosec, κυβερνητικοί οργανισμοί στην Κεντρική Ασία έχουν γίνει το επίκεντρο μιας στοχευμένης και περίπλοκης εκστρατείας κατασκοπείας. Αυτή η λειτουργία χρησιμοποιεί έναν νέο τύπο κακόβουλου λογισμικού που ονομάζεται DownEx, το οποίο ήταν προηγουμένως άγνωστο στους ειδικούς. Οι επιθέσεις μέχρι στιγμής δεν έχουν αποδοθεί σε συγκεκριμένη ομάδα APT (Advanced Persistent Threat) ή κυβερνοεγκληματική ομάδα, αλλά τα στοιχεία δείχνουν την εμπλοκή παραγόντων με έδρα τη Ρωσία.

Το πρώτο αναφερόμενο περιστατικό που αφορούσε το κακόβουλο λογισμικό DownEx συνέβη στο Καζακστάν, όπου ξεκίνησε μια άκρως στοχευμένη επίθεση εναντίον ξένων κυβερνητικών ιδρυμάτων στα τέλη του 2022. Μια άλλη επίθεση παρατηρήθηκε αργότερα στο Αφγανιστάν. Η χρήση ενός εγγράφου με διπλωματικό θέμα για να δελεάσουν τα θύματα και η εστίαση των επιτιθέμενων στη συλλογή ευαίσθητων δεδομένων υποδηλώνουν έντονα τη συμμετοχή μιας ομάδας που υποστηρίζεται από το κράτος. Ωστόσο, η ταυτότητα του hacking outfit δεν έχει ακόμη επιβεβαιωθεί. Η επιχείρηση είναι ακόμη σε εξέλιξη και ενδέχεται να υπάρξουν και άλλες επιθέσεις, προειδοποιούν οι ερευνητές στο Bitdefender, οι οποίοι δημοσίευσαν μια αναφορά σχετικά με την απειλή και τη σχετική δραστηριότητα επίθεσης.

Η αλυσίδα επιθέσεων κακόβουλου λογισμικού DownEx ξεκινά με μηνύματα Lure

Υποπτεύεται ότι το αρχικό μέσο εισβολής για την εκστρατεία κατασκοπείας περιελάμβανε ένα email phishing με δόρυ που μετέφερε ένα απειλητικό ωφέλιμο φορτίο. Το εν λόγω ωφέλιμο φορτίο είναι ένα εκτελέσιμο πρόγραμμα φόρτωσης μεταμφιεσμένο ως έγγραφο του Microsoft Word. Μόλις ανοίξει το συνημμένο, εξάγονται δύο αρχεία, ένα από τα οποία είναι ένα πλαστό έγγραφο που εμφανίζεται στο θύμα ως δόλωμα. Ταυτόχρονα, ένα κακόβουλο αρχείο εφαρμογής HTML (.HTA) που περιέχει κώδικα VBScript εκτελείται στο παρασκήνιο.

Το αρχείο HTA έχει σχεδιαστεί για να δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή Command-and-Control (C2, C&C) για τη λήψη του ωφέλιμου φορτίου επόμενου σταδίου. Η ακριβής φύση αυτού του εργαλείου κακόβουλου λογισμικού δεν έχει αποκαλυφθεί ακόμη, αλλά πιστεύεται ότι είναι μια κερκόπορτα που έχει ως αποστολή να εδραιώσει την επιμονή στο σύστημα που έχει παραβιαστεί. Αυτό υποδηλώνει ότι η εκστρατεία διεξάγεται από έναν εξαιρετικά οργανωμένο και εξελιγμένο παράγοντα απειλών, πιθανότατα μια ομάδα υποστηριζόμενη από το κράτος, με επίκεντρο την εξαγωγή δεδομένων από ξένους κυβερνητικούς θεσμούς.

Πρόσθετα απειλητικά εργαλεία που αναπτύσσονται παράλληλα με το κακόβουλο λογισμικό DownEx

Έχουν παρατηρηθεί δύο διαφορετικές εκδόσεις του κακόβουλου λογισμικού DownEx. Η πρώτη παραλλαγή χρησιμοποιεί ένα ενδιάμεσο VBScript για τη συλλογή και αποστολή αρχείων σε έναν απομακρυσμένο διακομιστή με τη μορφή αρχείου ZIP. Η δεύτερη παραλλαγή γίνεται λήψη μέσω ενός σεναρίου VBE που ονομάζεται slmgr.vibe και χρησιμοποιεί VBScript αντί για C++. Παρά τις διαφορετικές γλώσσες προγραμματισμού, η δεύτερη έκδοση διατηρεί τις ίδιες κακόβουλες δυνατότητες με την πρώτη.

Η δεύτερη παραλλαγή DownEx Malware χρησιμοποιεί μια τεχνική επίθεσης χωρίς αρχεία. Αυτό σημαίνει ότι η δέσμη ενεργειών DownEx εκτελείται μόνο στη μνήμη και δεν αγγίζει ποτέ το δίσκο της μολυσμένης συσκευής. Αυτή η τεχνική υπογραμμίζει την αυξανόμενη πολυπλοκότητα των σύγχρονων επιθέσεων στον κυβερνοχώρο και δείχνει ότι οι κυβερνοεγκληματίες αναπτύσσουν νέες μεθόδους για να κάνουν τις επιθέσεις τους πιο αποτελεσματικές και πιο δύσκολο να εντοπιστούν.