DownEx-haittaohjelma
Infosecin tutkijoiden mukaan Keski-Aasian valtion järjestöt ovat nousseet kohdistetun ja monimutkaisen vakoilukampanjan keskipisteeksi. Tämä operaatio käyttää uudentyyppistä DownEx-nimistä haittaohjelmaa, jota asiantuntijat eivät aiemmin tunteneet. Hyökkäyksiä ei toistaiseksi ole katsottu tietyn APT:n (Advanced Persistent Threat) tai kyberrikollisryhmän syyksi, mutta todisteet viittaavat Venäjällä toimivien toimijoiden osallisuuteen.
Ensimmäinen raportoitu DownEx-haittaohjelmaan liittyvä tapaus tapahtui Kazakstanissa, jossa käynnistettiin tarkasti kohdennettu hyökkäys ulkomaisia valtion instituutioita vastaan vuoden 2022 lopulla. Toinen hyökkäys havaittiin myöhemmin Afganistanissa. Diplomaattisen teeman sisältävän asiakirjan käyttö uhrien houkuttelemiseksi ja hyökkääjien keskittyminen arkaluonteisten tietojen keräämiseen viittaavat vahvasti valtion tukeman ryhmän osallisuuteen. Hakkerointiasun henkilöllisyyttä ei kuitenkaan ole vielä vahvistettu. Operaatio on edelleen käynnissä, ja uusia hyökkäyksiä voi tapahtua, varoittavat Bitdefenderin tutkijat, jotka julkaisivat raportin uhasta ja siihen liittyvästä hyökkäystoiminnasta.
DownEx-haittaohjelmien hyökkäysketju alkaa houkutusviesteistä
Epäillään, että vakoilukampanjan alkuperäinen tunkeutumiskeino oli keihäs-phishing-sähköposti, jossa oli uhkaava hyötykuorma. Mainittu hyötykuorma on latausohjelma, joka on naamioitu Microsoft Word -asiakirjaksi. Kun liite on avattu, kaksi tiedostoa puretaan, joista toinen on väärennetty asiakirja, joka näytetään uhrille houkuttimena. Samanaikaisesti VBScript-koodia sisältävä haitallinen HTML-sovellustiedosto (.HTA) toimii taustalla.
HTA-tiedosto on suunniteltu muodostamaan yhteys Command-and-Control-etäpalvelimeen (C2, C&C) seuraavan vaiheen hyötykuorman saamiseksi. Tämän haittaohjelmatyökalun tarkkaa luonnetta ei vielä paljastettu, mutta sen uskotaan olevan takaovi, jonka tehtävänä on varmistaa rikotun järjestelmän pysyvyys. Tämä viittaa siihen, että kampanjan toteuttaa erittäin organisoitu ja kehittynyt uhkatoimija, todennäköisesti valtion tukema ryhmä, joka keskittyy tietojen suodattamiseen ulkomaisista hallintoelimistä.
Muita uhkaustyökaluja otettu käyttöön DownEx-haittaohjelman rinnalla
DownEx-haittaohjelmasta on havaittu kaksi eri versiota. Ensimmäinen versio käyttää välimuotoista VBScriptiä tiedostojen keräämiseen ja lähettämiseen etäpalvelimelle ZIP-arkiston muodossa. Toinen variantti ladataan VBE-komentosarjalla nimeltä slmgr.vibe ja käyttää VBScriptiä C++:n sijaan. Eri ohjelmointikielistä huolimatta toinen versio säilyttää samat haitalliset ominaisuudet kuin ensimmäinen.
Toinen DownEx-haittaohjelmaversio käyttää tiedostotonta hyökkäystekniikkaa. Tämä tarkoittaa, että DownEx-komentosarja suoritetaan vain muistissa, eikä se koskaan kosketa tartunnan saaneen laitteen levyä. Tämä tekniikka korostaa nykyaikaisten kyberhyökkäysten kehittymistä ja osoittaa, että kyberrikolliset kehittävät uusia menetelmiä tehdäkseen hyökkäyksistään tehokkaampia ja vaikeammin havaittavissa.
