DownEx Malware

Infosec 연구원에 따르면 중앙 아시아의 정부 기관은 표적이 되고 복잡한 스파이 캠페인의 초점이 되었습니다. 이 작업은 이전에 전문가에게 알려지지 않은 DownEx라는 새로운 유형의 맬웨어를 사용합니다. 이 공격은 지금까지 특정 APT(Advanced Persistent Threat) 또는 사이버 범죄 그룹의 소행으로 밝혀지지 않았지만 증거에 따르면 러시아에 기반을 둔 행위자가 연루된 것으로 보입니다.

DownEx 맬웨어와 관련된 첫 번째 보고된 사건은 카자흐스탄에서 발생했으며, 2022년 후반에 외국 정부 기관을 대상으로 고도의 표적 공격이 시작되었습니다. 나중에 아프가니스탄에서 또 다른 공격이 관찰되었습니다. 피해자를 유인하기 위해 외교적 주제가 있는 문서를 사용하고 공격자가 민감한 데이터 수집에 집중하는 것은 국가 후원 단체의 개입을 강력하게 시사합니다. 다만 해킹복장의 신원은 아직 확인되지 않았다. 이 작업은 여전히 진행 중이며 추가 공격이 발생할 수 있다고 Bitdefender의 연구원이 경고했습니다. Bitdefender는 위협 및 관련 공격 활동에 대한 보고서를 발표했습니다.

DownEx 맬웨어 공격 체인은 유인 메시지로 시작됩니다.

스파이 캠페인의 초기 침입 수단은 위협적인 페이로드가 포함된 스피어 피싱 이메일과 관련된 것으로 의심됩니다. 해당 페이로드는 Microsoft Word 문서로 위장한 로더 실행 파일입니다. 첨부 파일이 열리면 두 개의 파일이 추출되며 그 중 하나는 피해자에게 미끼로 표시되는 가짜 문서입니다. 동시에 VBScript 코드가 포함된 악성 HTML 애플리케이션(.HTA) 파일이 백그라운드에서 실행됩니다.

HTA 파일은 다음 단계 페이로드를 얻기 위해 원격 명령 및 제어(C2, C&C) 서버와 연결하도록 설계되었습니다. 이 맬웨어 도구의 정확한 특성은 아직 공개되지 않았지만, 침해된 시스템에서 지속성을 설정하는 임무를 맡은 백도어로 여겨집니다. 이는 캠페인이 외국 정부 기관의 데이터 유출에 중점을 둔 국가 지원 그룹일 가능성이 가장 높은 고도로 조직되고 정교한 위협 행위자에 의해 수행되고 있음을 시사합니다.

DownEx 맬웨어와 함께 배포된 추가 위협 도구

DownEx Malware의 두 가지 다른 버전이 관찰되었습니다. 첫 번째 변종은 중간 VBScript를 사용하여 ZIP 아카이브 형식으로 파일을 수집하고 원격 서버로 보냅니다. 두 번째 변종은 slmgr.vibe라는 VBE 스크립트를 통해 다운로드되며 C++ 대신 VBScript를 사용합니다. 다른 프로그래밍 언어에도 불구하고 두 번째 버전은 첫 번째 버전과 동일한 악성 기능을 유지합니다.

두 번째 DownEx Malware 변종은 파일리스 공격 기술을 사용합니다. 즉, DownEx 스크립트는 메모리에서만 실행되며 감염된 장치의 디스크에는 절대 닿지 않습니다. 이 기술은 현대 사이버 공격의 점점 더 정교해지고 있음을 강조하고 사이버 범죄자들이 공격을 더욱 효과적이고 탐지하기 어렵게 만드는 새로운 방법을 개발하고 있음을 보여줍니다.