הנחות רישוי רב
Threat Database Malware DownEx Malware

DownEx Malware

עד Mezo ב-Malware, Stealers
לתרגם ל:
עברית

לפי חוקרי infosec, ארגונים ממשלתיים במרכז אסיה הפכו למוקד של מסע ריגול ממוקד ומורכב. פעולה זו משתמשת בסוג חדש של תוכנות זדוניות בשם DownEx, אשר בעבר לא היה ידוע למומחים. התקיפות עד כה לא יוחסו לקבוצת APT ספציפית (Advanced Persistent Threat) או פושעי סייבר, אך עדויות מצביעות על מעורבות של שחקנים שבסיסם ברוסיה.

התקרית המדווחת הראשונה הכוללת את התוכנה הזדונית DownEx התרחשה בקזחסטן, שם הושקה מתקפה ממוקדת מאוד נגד מוסדות ממשלתיים זרים בסוף 2022. מתקפה נוספת נצפתה מאוחר יותר באפגניסטן. השימוש במסמך עם נושא דיפלומטי כדי לפתות קורבנות וההתמקדות של התוקפים באיסוף נתונים רגישים מרמזים מאוד על מעורבות של קבוצה בחסות המדינה. עם זאת, זהות תלבושת הפריצה טרם אושרה. המבצע עדיין נמשך, וייתכנו התקפות נוספות, מזהירים החוקרים ב-Bitdefender, שפרסמו דוח על האיום ופעילות התקיפה הקשורה אליו.

שרשרת התקפת תוכנות זדוניות של DownEx מתחילה בהודעות פיתוי

על פי החשד, אמצעי החדירה הראשוניים לקמפיין הריגול כללו דוא"ל דיוג חנית עם מטען מאיים. המטען האמור הוא קובץ הפעלה של מטעין המחופש למסמך Microsoft Word. לאחר פתיחת הקובץ המצורף, נשלפים שני קבצים, אחד מהם הוא מסמך מזויף שמוצג לקורבן כמטעה. במקביל, קובץ זדוני של יישום HTML (.HTA) המכיל קוד VBScript פועל ברקע.

קובץ HTA נועד ליצור קשר עם שרת פיקוד ושליטה מרוחק (C2, C&C) כדי להשיג את המטען הבא. האופי המדויק של כלי תוכנה זדוני זה לא נחשף עדיין, אך מאמינים כי מדובר בדלת אחורית עם המשימה לבסס התמדה במערכת הפורצת. זה מצביע על כך שהקמפיין מבוצע על ידי שחקן איומים מאוד מאורגן ומתוחכם, ככל הנראה קבוצה בחסות המדינה, עם התמקדות בחליפת נתונים ממוסדות ממשלתיים זרים.

כלים מאיימים נוספים שנפרסו לצד התוכנה הזדונית של DownEx

נצפו שתי גרסאות שונות של DownEx Malware. הגרסה הראשונה משתמשת ב-VBScript ביניים כדי לאסוף ולשלוח קבצים לשרת מרוחק בצורה של ארכיון ZIP. הגרסה השנייה יורדת באמצעות סקריפט VBE בשם slmgr.vibe ומשתמשת ב-VBScript במקום C++. למרות שפות התכנות השונות, הגרסה השנייה שומרת על אותן יכולות זדוניות כמו הראשונה.

הגרסה השנייה של DownEx Malware משתמשת בטכניקת התקפה ללא קבצים. המשמעות היא שהסקריפט של DownEx מבוצע בזיכרון בלבד ולעולם לא נוגע בדיסק של ההתקן הנגוע. טכניקה זו מדגישה את התחכום ההולך וגובר של מתקפות סייבר מודרניות ומראה שפושעי סייבר מפתחים שיטות חדשות כדי להפוך את התקפותיהם ליעילות יותר וקשות יותר לזיהוי.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...