DownEx Malware

Az infosec kutatói szerint közép-ázsiai kormányzati szervezetek kerültek egy célzott és összetett kémkampány középpontjába. Ez a művelet egy új típusú, a szakértők számára ismeretlen, DownEx nevű kártevőt használ. A támadásokat eddig nem tulajdonították konkrét APT-nek (Advanced Persistent Threat) vagy kiberbűnözői csoportnak, de a bizonyítékok az oroszországi székhelyű szereplők érintettségére utalnak.

Az első bejelentett incidens a DownEx malware-rel kapcsolatban Kazahsztánban történt, ahol 2022 végén erősen célzott támadást indítottak külföldi kormányzati intézmények ellen. Egy másik támadást később Afganisztánban is megfigyeltek. Egy diplomáciai témájú dokumentum áldozatok csábítására való felhasználása és a támadók érzékeny adatok gyűjtésére való összpontosítása erősen utal egy államilag támogatott csoport részvételére. A hackerruházat kilétét azonban még nem erősítették meg. A művelet még tart, és további támadások is előfordulhatnak – figyelmeztetnek a Bitdefender kutatói, akik jelentést tettek közzé a fenyegetésről és a kapcsolódó támadási tevékenységről.

A DownEx rosszindulatú programok támadási lánca csalogató üzenetekkel kezdődik

A gyanú szerint a kémkampány kezdeti behatolási módja egy lándzsás adathalász e-mail volt, amely fenyegető rakományt hordozott. Az említett hasznos adat egy betöltő futtatható fájl, amely Microsoft Word dokumentumnak álcázott. A melléklet megnyitása után két fájl kerül kibontásra, amelyek közül az egyik egy hamis dokumentum, amelyet csaliként mutatnak meg az áldozatnak. Ezzel egyidejűleg egy VBScript kódot tartalmazó rosszindulatú HTML-alkalmazás (.HTA) fájl fut a háttérben.

A HTA-fájlt úgy tervezték, hogy kapcsolatot létesítsen egy távoli Command-and-Control (C2, C&C) szerverrel a következő szintű hasznos adat megszerzése érdekében. Ennek a kártevő-eszköznek a pontos természetét még nem hozták nyilvánosságra, de úgy gondolják, hogy ez egy hátsó ajtó, amelynek feladata a feltört rendszer fennmaradásának biztosítása. Ez arra utal, hogy a kampányt egy rendkívül szervezett és kifinomult fenyegetési szereplő hajtja végre, valószínűleg egy államilag támogatott csoport, amelynek középpontjában a külföldi kormányzati intézményektől származó adatok kiszűrése áll.

További fenyegető eszközök a DownEx malware mellett

A DownEx Malware két különböző verzióját figyelték meg. Az első változat egy közbenső VBScriptet használ a fájlok összegyűjtésére és egy távoli szerverre küldésére ZIP archívum formájában. A második változatot az slmgr.vibe nevű VBE-szkripten keresztül töltik le, és C++ helyett VBScript-et használ. A különböző programozási nyelvek ellenére a második verzió megőrzi ugyanazokat a rosszindulatú képességeket, mint az első.

A DownEx Malware második változata fájl nélküli támadási technikát alkalmaz. Ez azt jelenti, hogy a DownEx parancsfájl csak a memóriában fut, és soha nem érinti meg a fertőzött eszköz lemezét. Ez a technika rávilágít a modern kibertámadások növekvő kifinomultságára, és azt mutatja, hogy a kiberbűnözők új módszereket fejlesztenek ki támadásaik hatékonyabbá és nehezebben észlelhetővé tételére.