DownEx zlonamjerni softver

Prema istraživačima Infoseca, vladine organizacije u srednjoj Aziji postale su žarište ciljane i složene špijunske kampanje. Ova operacija koristi novu vrstu zlonamjernog softvera pod nazivom DownEx, koji je do sada bio nepoznat stručnjacima. Napadi do sada nisu pripisani određenom APT-u (Advanced Persistent Threat) ili kibernetičkoj kriminalnoj skupini, ali dokazi upućuju na umiješanost aktera sa sjedištem u Rusiji.

Prvi prijavljeni incident koji uključuje zlonamjerni softver DownEx dogodio se u Kazahstanu, gdje je krajem 2022. godine pokrenut visoko ciljani napad na strane vladine institucije. Još jedan napad kasnije je primijećen u Afganistanu. Upotreba dokumenta s diplomatskom tematikom za namamljivanje žrtava i usredotočenost napadača na prikupljanje osjetljivih podataka snažno sugeriraju umiješanost skupine koju sponzorira država. Međutim, identitet hakerske jedinice još nije potvrđen. Operacija je još uvijek u tijeku i mogući su daljnji napadi, upozoravaju istraživači Bitdefendera koji su objavili izvješće o prijetnji i s njom povezanim napadačkim aktivnostima.

DownEx lanac napada zlonamjernim softverom počinje porukama mame

Sumnja se da je početni način upada za špijunsku kampanju uključivao e-poštu s prijetećim sadržajem. Navedeni korisni teret je izvršna datoteka programa za učitavanje prerušena u Microsoft Word dokument. Nakon što se privitak otvori, izdvajaju se dvije datoteke, od kojih je jedna lažni dokument koji se žrtvi prikazuje kao mamac. Istovremeno, datoteka zlonamjerne HTML aplikacije (.HTA) koja sadrži VBScript kod radi u pozadini.

HTA datoteka dizajnirana je za uspostavljanje kontakta s udaljenim Command-and-Control (C2, C&C) poslužiteljem kako bi se dobio korisni teret sljedeće faze. Točna priroda ovog zlonamjernog alata još nije otkrivena, ali vjeruje se da je riječ o stražnjim vratima čiji je zadatak uspostaviti postojanost na probijenom sustavu. To sugerira da kampanju provodi visoko organizirani i sofisticirani akter prijetnje, najvjerojatnije skupina koju sponzorira država, s fokusom na izvlačenje podataka iz stranih vladinih institucija.

Dodatni prijeteći alati postavljeni uz DownEx zlonamjerni softver

Uočene su dvije različite verzije zlonamjernog softvera DownEx. Prva varijanta koristi srednji VBScript za prikupljanje i slanje datoteka na udaljeni poslužitelj u obliku ZIP arhive. Druga se varijanta preuzima putem VBE skripte pod nazivom slmgr.vibe i koristi VBScript umjesto C++. Unatoč različitim programskim jezicima, druga verzija zadržava iste zlonamjerne mogućnosti kao i prva.

Druga DownEx varijanta zlonamjernog softvera koristi tehniku napada bez datoteka. To znači da se DownEx skripta izvršava samo u memoriji i nikada ne dodiruje disk zaraženog uređaja. Ova tehnika naglašava rastuću sofisticiranost modernih kibernetičkih napada i pokazuje da kibernetički kriminalci razvijaju nove metode kako bi svoje napade učinili učinkovitijima i težima za otkrivanje.