„DownEx“ kenkėjiška programa

„Infosec“ tyrėjų teigimu, vyriausybinės organizacijos Centrinėje Azijoje tapo tikslinės ir sudėtingos šnipinėjimo kampanijos dėmesio centre. Šiai operacijai naudojama naujo tipo kenkėjiška programa, vadinama DownEx, kuri anksčiau ekspertams nebuvo žinoma. Atakos iki šiol nebuvo priskirtos konkrečiai APT (Advanced Persistent Threat) ar kibernetinių nusikaltėlių grupei, tačiau įrodymai rodo, kad jame dalyvauja Rusijoje įsikūrę veikėjai.

Pirmasis incidentas, apie kurį pranešta, susijęs su kenkėjiška programa DownEx, įvyko Kazachstane, kur 2022 m. pabaigoje buvo surengta itin tikslinga ataka prieš užsienio vyriausybines institucijas. Kita ataka vėliau buvo pastebėta Afganistane. Diplomatinės tematikos dokumento naudojimas aukoms privilioti ir užpuolikų dėmesys neskelbtiniems duomenims rinkti aiškiai rodo, kad dalyvauja valstybės remiama grupė. Tačiau įsilaužėlių aprangos tapatybė kol kas nepatvirtinta. Operacija vis dar tęsiasi ir gali įvykti daugiau atakų, perspėja „Bitdefender“ tyrėjai, kurie paskelbė ataskaitą apie grėsmę ir su ja susijusią atakų veiklą.

„DownEx“ kenkėjiškų programų atakų grandinė prasideda nuo viliojimo pranešimų

Įtariama, kad pradinis įsibrovimo į šnipinėjimo kampaniją būdas buvo sukčiavimo el. laiškas su grėsmingu kroviniu. Minėtas naudingas krovinys yra įkroviklio vykdomasis failas, užmaskuotas kaip „Microsoft Word“ dokumentas. Atidarius priedą, ištraukiami du failai, iš kurių vienas yra netikras dokumentas, kuris aukai rodomas kaip apgaulė. Tuo pačiu metu fone veikia kenkėjiškos HTML programos (.HTA) failas su VBScript kodu.

HTA failas skirtas užmegzti ryšį su nuotoliniu komandų ir valdymo (C2, C&C) serveriu, kad gautų kito etapo naudingą apkrovą. Tikslus šio kenkėjiškų programų įrankio pobūdis dar nebuvo atskleistas, tačiau manoma, kad tai yra užpakalinės durys, kurioms pavesta nustatyti pažeistos sistemos patvarumą. Tai rodo, kad kampaniją vykdo labai organizuotas ir sudėtingas grėsmių veikėjas, greičiausiai valstybės remiama grupė, daugiausia dėmesio skiriant duomenų išfiltravimui iš užsienio valdžios institucijų.

Kartu su „DownEx“ kenkėjiška programa įdiegti papildomi grėsmę keliantys įrankiai

Buvo pastebėtos dvi skirtingos „DownEx“ kenkėjiškos programos versijos. Pirmasis variantas naudoja tarpinį VBScript failams rinkti ir siųsti į nuotolinį serverį ZIP archyvo pavidalu. Antrasis variantas atsisiunčiamas naudojant VBE scenarijų, vadinamą slmgr.vibe, ir vietoj C++ naudojamas VBScript. Nepaisant skirtingų programavimo kalbų, antroji versija išlaiko tokias pačias kenkėjiškas galimybes kaip ir pirmoji.

Antrasis „DownEx“ kenkėjiškų programų variantas naudoja atakos be failų techniką. Tai reiškia, kad DownEx scenarijus vykdomas tik atmintyje ir niekada neliečia užkrėsto įrenginio disko. Ši technika pabrėžia didėjantį šiuolaikinių kibernetinių atakų sudėtingumą ir parodo, kad kibernetiniai nusikaltėliai kuria naujus metodus, kad jų atakos būtų veiksmingesnės ir sunkiau aptinkamos.