DownEx Malware
Infosec के शोधकर्ताओं के अनुसार, मध्य एशिया में सरकारी संगठन एक लक्षित और जटिल जासूसी अभियान का केंद्र बन गए हैं। यह ऑपरेशन डाउनएक्स नामक एक नए प्रकार के मैलवेयर का उपयोग करता है, जो पहले विशेषज्ञों के लिए अज्ञात था। अभी तक इन हमलों के लिए विशिष्ट APT (एडवांस परसिस्टेंट थ्रेट) या साइबर क्रिमिनल ग्रुप को जिम्मेदार नहीं ठहराया गया है, लेकिन सबूत रूस में स्थित अभिनेताओं की भागीदारी की ओर इशारा करते हैं।
डाउनएक्स मालवेयर से जुड़ी पहली रिपोर्ट की गई घटना कजाकिस्तान में हुई, जहां 2022 के अंत में विदेशी सरकारी संस्थानों के खिलाफ अत्यधिक लक्षित हमला किया गया था। एक और हमला बाद में अफगानिस्तान में देखा गया था। पीड़ितों को लुभाने के लिए एक राजनयिक विषय के साथ एक दस्तावेज़ का उपयोग और संवेदनशील डेटा एकत्र करने पर हमलावरों का ध्यान राज्य-प्रायोजित समूह की भागीदारी का दृढ़ता से सुझाव देता है। हालांकि, अभी तक हैकिंग करने वाले संगठन की पहचान की पुष्टि नहीं हुई है। ऑपरेशन अभी भी जारी है, और आगे के हमले हो सकते हैं, बिटडेफ़ेंडर के शोधकर्ताओं ने चेतावनी दी, जिन्होंने खतरे और इससे जुड़ी हमले की गतिविधि पर एक रिपोर्ट जारी की।
DownEx Malware अटैक चेन की शुरुआत ल्यूर मैसेज से होती है
यह संदेह है कि जासूसी अभियान के लिए घुसपैठ के प्रारंभिक माध्यम में एक खतरनाक पेलोड ले जाने वाला भाला-फ़िशिंग ईमेल शामिल था। उक्त पेलोड एक Microsoft Word दस्तावेज़ के रूप में प्रच्छन्न निष्पादन योग्य लोडर है। एक बार अटैचमेंट खोलने के बाद दो फाइलें निकाली जाती हैं, जिनमें से एक फर्जी दस्तावेज होती है जिसे पीड़ित को फंदे के रूप में दिखाया जाता है। इसके साथ ही, VBScript कोड वाली एक दुर्भावनापूर्ण HTML एप्लिकेशन (.HTA) फ़ाइल पृष्ठभूमि में चलती है।
HTA फ़ाइल को अगले चरण के पेलोड को प्राप्त करने के लिए रिमोट कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संपर्क स्थापित करने के लिए डिज़ाइन किया गया है। इस मैलवेयर उपकरण की सटीक प्रकृति का अभी तक खुलासा नहीं किया गया था, लेकिन यह माना जाता है कि यह एक पिछले दरवाजे का काम है जो भंग प्रणाली पर दृढ़ता स्थापित करता है। इससे पता चलता है कि अभियान एक उच्च संगठित और परिष्कृत खतरे वाले अभिनेता द्वारा किया जा रहा है, जो कि सबसे अधिक संभावना एक राज्य-प्रायोजित समूह है, जिसमें विदेशी सरकारी संस्थानों से डेटा की चोरी पर ध्यान केंद्रित किया गया है।
DownEx Malware के साथ तैनात किए गए अतिरिक्त खतरनाक उपकरण
डाउनएक्स मालवेयर के दो अलग-अलग संस्करण देखे गए हैं। पहला संस्करण ज़िप संग्रह के रूप में एक दूरस्थ सर्वर पर फ़ाइलों को इकट्ठा करने और भेजने के लिए एक मध्यवर्ती VBScript का उपयोग करता है। दूसरा संस्करण slmgr.vibe नामक वीबीई स्क्रिप्ट के माध्यम से डाउनलोड किया जाता है और सी ++ के बजाय वीबीस्क्रिप्ट का उपयोग करता है। विभिन्न प्रोग्रामिंग भाषाओं के बावजूद, दूसरा संस्करण पहले वाले के समान दुर्भावनापूर्ण क्षमताओं को बनाए रखता है।
दूसरा डाउनएक्स मालवेयर वैरिएंट फाइललेस अटैक तकनीक का इस्तेमाल करता है। इसका मतलब यह है कि डाउनएक्स स्क्रिप्ट केवल स्मृति में निष्पादित होती है और संक्रमित डिवाइस की डिस्क को कभी छूती नहीं है। यह तकनीक आधुनिक साइबर हमलों के बढ़ते परिष्कार पर प्रकाश डालती है और दिखाती है कि साइबर अपराधी अपने हमलों को अधिक प्रभावी और पहचानने में कठिन बनाने के लिए नए तरीके विकसित कर रहे हैं।
