DownEx pahavara

Infoseci teadlaste sõnul on Kesk-Aasia valitsusorganisatsioonid sattunud sihipärase ja keeruka spionaažikampaania keskmesse. See operatsioon kasutab uut tüüpi ründevara nimega DownEx, mis ekspertidele varem oli tundmatu. Rünnakuid ei ole seni seostatud konkreetse APT (Advanced Persistent Threat) või küberkurjategijate rühmitusega, kuid tõendid viitavad Venemaal asuvate osalejate seotusega.

Esimene teatatud intsident DownExi pahavaraga leidis aset Kasahstanis, kus 2022. aasta lõpus käivitati väga sihipärane rünnak välisriikide valitsusasutuste vastu. Hiljem täheldati veel ühte rünnakut Afganistanis. Diplomaatilise teemaga dokumendi kasutamine ohvrite meelitamiseks ja ründajate keskendumine tundlike andmete kogumisele viitavad tugevalt riiklikult toetatava grupi seotusele. Häkkimisriietuse isik pole aga veel kinnitatud. Operatsioon kestab endiselt ja rünnakuid võib ette tulla, hoiatavad Bitdefenderi teadlased, kes avaldasid aruande ohu ja sellega seotud ründetegevuse kohta.

DownExi pahavara rünnakuahel algab peibutussõnumitega

Arvatakse, et spionaažikampaania esialgseks sissetungimise vahendiks oli ähvardava koormaga andmepüügimeil. Nimetatud kasulik koormus on laaduri käivitatav fail, mis on maskeeritud Microsoft Wordi dokumendiks. Manuse avamisel ekstraheeritakse kaks faili, millest üks on võltsdokument, mida näidatakse ohvrile peibutusvahendina. Samal ajal töötab taustal pahatahtlik HTML-rakenduse (.HTA) fail, mis sisaldab VBScripti koodi.

HTA-fail on loodud kontakti loomiseks kaugjuhtimis- ja juhtimisserveriga (C2, C&C), et hankida järgmise etapi kasulikku koormust. Selle pahavaratööriista täpset olemust veel ei avalikustatud, kuid arvatakse, et see on tagauks, mille ülesandeks on rikutud süsteemi püsivus tuvastada. See viitab sellele, et kampaaniat viib läbi kõrgelt organiseeritud ja kogenud ohus osaleja, tõenäoliselt riigi toetatud rühm, keskendudes andmete väljafiltreerimisele välisriikide valitsusasutustest.

Täiendavad ohutööriistad, mis on juurutatud koos DownExi pahavaraga

Täheldatud on DownExi pahavara kahte erinevat versiooni. Esimene variant kasutab failide kogumiseks ja ZIP-arhiivi kujul kaugserverisse saatmiseks vahepealset VBScripti. Teine variant laaditakse alla VBE skripti kaudu nimega slmgr.vibe ja see kasutab C++ asemel VBScripti. Vaatamata erinevatele programmeerimiskeeltele säilitab teine versioon samad pahatahtlikud võimalused kui esimene.

Teine DownExi pahavara variant kasutab failivaba rünnaku tehnikat. See tähendab, et DownExi skript käivitatakse ainult mälus ja see ei puuduta kunagi nakatunud seadme ketast. See tehnika tõstab esile tänapäevaste küberrünnakute keerukuse ja näitab, et küberkurjategijad töötavad välja uusi meetodeid, et muuta oma rünnakud tõhusamaks ja raskemini tuvastatavaks.