بدافزار DownEx

به گفته محققان infosec، سازمان های دولتی در آسیای مرکزی به کانون یک کمپین جاسوسی هدفمند و پیچیده تبدیل شده اند. این عملیات از نوع جدیدی از بدافزار به نام DownEx استفاده می کند که قبلاً برای کارشناسان ناشناخته بود. این حملات تاکنون به یک APT (تهدید دائمی پیشرفته) یا گروه مجرم سایبری نسبت داده نشده است، اما شواهد حاکی از دخالت بازیگران مستقر در روسیه است.

اولین حادثه گزارش شده مربوط به بدافزار DownEx در قزاقستان رخ داد، جایی که در اواخر سال 2022 یک حمله بسیار هدفمند علیه نهادهای دولتی خارجی انجام شد. حمله دیگری بعداً در افغانستان مشاهده شد. استفاده از سندی با مضمون دیپلماتیک برای فریب قربانیان و تمرکز مهاجمان بر جمع آوری داده های حساس به شدت حاکی از دخالت یک گروه تحت حمایت دولت است. با این حال، هویت هکرها هنوز تایید نشده است. محققان در Bitdefender که گزارشی در مورد تهدید و فعالیت حمله مرتبط با آن منتشر کردند، هشدار دادند که این عملیات همچنان ادامه دارد و ممکن است حملات بیشتری رخ دهد.

زنجیره حمله بدافزار DownEx با پیام های فریب شروع می شود

گمان می رود که ابزار اولیه نفوذ برای کمپین جاسوسی شامل یک ایمیل فیشینگ نیزه ای است که محموله ای تهدیدآمیز را حمل می کند. محموله مذکور یک لودر اجرایی است که به صورت سند مایکروسافت ورد پنهان شده است. پس از باز شدن فایل پیوست، دو فایل استخراج می شود که یکی از آنها یک سند جعلی است که به عنوان یک طعمه به قربانی نشان داده می شود. به طور همزمان، یک فایل برنامه مخرب HTML (.HTA) حاوی کد VBScript در پس‌زمینه اجرا می‌شود.

فایل HTA برای برقراری ارتباط با یک سرور فرمان و کنترل از راه دور (C2, C&C) برای دریافت بار مرحله بعدی طراحی شده است. ماهیت دقیق این ابزار بدافزار هنوز فاش نشده است، اما اعتقاد بر این است که یک درب پشتی است که وظیفه ایجاد پایداری در سیستم نقض شده را دارد. این نشان می دهد که این کمپین توسط یک عامل تهدید بسیار سازمان یافته و پیچیده، به احتمال زیاد یک گروه تحت حمایت دولت، با تمرکز بر استخراج داده ها از نهادهای دولتی خارجی انجام می شود.

ابزارهای تهدید کننده اضافی در کنار بدافزار DownEx مستقر شده اند

دو نسخه مختلف از بدافزار DownEx مشاهده شده است. نوع اول از یک VBScript میانی برای جمع آوری و ارسال فایل ها به یک سرور راه دور در قالب یک آرشیو ZIP استفاده می کند. نوع دوم از طریق یک اسکریپت VBE به نام slmgr.vibe دانلود می شود و به جای C++ از VBScript استفاده می کند. با وجود زبان های برنامه نویسی مختلف، نسخه دوم همان قابلیت های مخرب نسخه اول را حفظ می کند.

دومین نوع بدافزار DownEx از تکنیک حمله بدون فایل استفاده می‌کند. این بدان معنی است که اسکریپت DownEx فقط در حافظه اجرا می شود و هرگز دیسک دستگاه آلوده را لمس نمی کند. این تکنیک پیچیدگی روزافزون حملات سایبری مدرن را برجسته می‌کند و نشان می‌دهد که مجرمان سایبری در حال توسعه روش‌های جدیدی هستند تا حملات خود را مؤثرتر و شناسایی سخت‌تر کنند.