Malware DownEx

Secondo i ricercatori di infosec, le organizzazioni governative dell'Asia centrale sono diventate il fulcro di una campagna di spionaggio mirata e complessa. Questa operazione utilizza un nuovo tipo di malware chiamato DownEx, precedentemente sconosciuto agli esperti. Gli attacchi finora non sono stati attribuiti a uno specifico APT (Advanced Persistent Threat) o gruppo di criminali informatici, ma le prove indicano il coinvolgimento di attori con sede in Russia.

Il primo incidente segnalato che ha coinvolto il malware DownEx si è verificato in Kazakistan, dove alla fine del 2022 è stato lanciato un attacco altamente mirato contro istituzioni governative straniere. Successivamente è stato osservato un altro attacco in Afghanistan. L'uso di un documento a tema diplomatico per adescare le vittime e l'attenzione degli aggressori alla raccolta di dati sensibili suggeriscono fortemente il coinvolgimento di un gruppo sponsorizzato dallo Stato. Tuttavia, l'identità del gruppo di hacker non è stata ancora confermata. L'operazione è ancora in corso e potrebbero verificarsi ulteriori attacchi, avvertono i ricercatori di Bitdefender, che hanno pubblicato un rapporto sulla minaccia e sull'attività di attacco associata.

La catena di attacchi del malware DownEx inizia con i messaggi esca

Si sospetta che il mezzo iniziale di intrusione per la campagna di spionaggio riguardasse un'e-mail di spear phishing con un payload minaccioso. Il suddetto payload è un eseguibile del caricatore camuffato da documento Microsoft Word. Una volta aperto l'allegato, vengono estratti due file, uno dei quali è un documento falso che viene mostrato alla vittima come esca. Contemporaneamente, un file di applicazione HTML dannoso (.HTA) contenente codice VBScript viene eseguito in background.

Il file HTA è progettato per stabilire un contatto con un server Command-and-Control (C2, C&C) remoto per ottenere il payload della fase successiva. La natura esatta di questo strumento malware non è stata ancora rivelata, ma si ritiene che sia una backdoor incaricata di stabilire la persistenza sul sistema violato. Ciò suggerisce che la campagna sia condotta da un attore di minacce altamente organizzato e sofisticato, molto probabilmente un gruppo sponsorizzato dallo stato, con un focus sull'esfiltrazione di dati da istituzioni governative straniere.

Ulteriori strumenti minacciosi implementati insieme al malware DownEx

Sono state osservate due diverse versioni del malware DownEx. La prima variante utilizza un VBScript intermedio per raccogliere e inviare file a un server remoto sotto forma di archivio ZIP. La seconda variante viene scaricata tramite uno script VBE chiamato slmgr.vibe e utilizza VBScript anziché C++. Nonostante i diversi linguaggi di programmazione, la seconda versione conserva le stesse capacità dannose della prima.

La seconda variante DownEx Malware utilizza una tecnica di attacco senza file. Ciò significa che lo script DownEx viene eseguito solo in memoria e non tocca mai il disco del dispositivo infetto. Questa tecnica evidenzia la crescente sofisticazione dei moderni attacchi informatici e mostra che i criminali informatici stanno sviluppando nuovi metodi per rendere i loro attacchi più efficaci e più difficili da rilevare.