DownEx ļaunprātīga programmatūra

Pēc infosec pētnieku domām, valdības organizācijas Vidusāzijā ir kļuvušas mērķtiecīgas un sarežģītas spiegošanas kampaņas uzmanības centrā. Šajā operācijā tiek izmantota jauna veida ļaunprogrammatūra ar nosaukumu DownEx, kas iepriekš ekspertiem nebija zināma. Uzbrukumi līdz šim nav attiecināti uz konkrētu APT (Advanced Persistent Threat) vai kibernoziedznieku grupu, taču pierādījumi liecina par Krievijā bāzētu dalībnieku iesaistīšanos.

Pirmais ziņotais incidents, kas saistīts ar ļaunprogrammatūru DownEx, notika Kazahstānā, kur 2022. gada beigās tika uzsākts ļoti mērķtiecīgs uzbrukums ārvalstu valdības iestādēm. Vēl viens uzbrukums tika novērots Afganistānā. Dokumenta ar diplomātisku tēmu izmantošana upuru pievilināšanai un uzbrucēju koncentrēšanās uz sensitīvu datu vākšanu liecina par valsts sponsorētas grupas iesaistīšanos. Tomēr hakeru tērpa identitāte vēl nav apstiprināta. Operācija joprojām turpinās, un var notikt turpmāki uzbrukumi, brīdina Bitdefender pētnieki, kuri publicēja ziņojumu par draudiem un ar to saistīto uzbrukuma darbību.

DownEx ļaunprātīgas programmatūras uzbrukuma ķēde sākas ar vilinājuma ziņojumiem

Pastāv aizdomas, ka spiegošanas kampaņas sākotnējais ielaušanās līdzeklis bija pikšķerēšanas e-pasts, kurā bija apdraudēta krava. Minētā krava ir iekrāvēja izpildāmā programma, kas slēpta kā Microsoft Word dokuments. Kad pielikums ir atvērts, tiek izvilkti divi faili, no kuriem viens ir viltots dokuments, kas tiek parādīts upurim kā māneklis. Vienlaikus fonā darbojas ļaunprātīgas HTML lietojumprogrammas (.HTA) fails, kas satur VBScript kodu.

HTA fails ir paredzēts, lai izveidotu kontaktu ar attālo Command-and-Control (C2, C&C) serveri, lai iegūtu nākamā posma lietderīgo slodzi. Precīzs šī ļaunprogrammatūras rīka raksturs vēl netika atklāts, taču tiek uzskatīts, ka tas ir aizmugures durvis, kuras uzdevums ir noteikt uzlauztās sistēmas noturību. Tas liecina, ka kampaņu veic augsti organizēts un sarežģīts draudu dalībnieks, visticamāk, valsts sponsorēta grupa, koncentrējoties uz datu izfiltrēšanu no ārvalstu valdības iestādēm.

Papildu draudu rīki, kas izvietoti līdzās ļaunprogrammatūrai DownEx

Ir novērotas divas dažādas DownEx ļaunprogrammatūras versijas. Pirmajā variantā tiek izmantots starpposma VBScript, lai savāktu un nosūtītu failus uz attālo serveri ZIP arhīva veidā. Otrais variants tiek lejupielādēts, izmantojot VBE skriptu ar nosaukumu slmgr.vibe, un C++ vietā tiek izmantots VBScript. Neskatoties uz dažādām programmēšanas valodām, otrā versija saglabā tādas pašas ļaunprātīgas iespējas kā pirmā.

Otrajā DownEx ļaunprogrammatūras variantā tiek izmantota bezfailu uzbrukuma tehnika. Tas nozīmē, ka DownEx skripts tiek izpildīts tikai atmiņā un nekad nepieskaras inficētās ierīces diskam. Šis paņēmiens izceļ mūsdienu kiberuzbrukumu pieaugošo sarežģītību un parāda, ka kibernoziedznieki izstrādā jaunas metodes, lai padarītu savus uzbrukumus efektīvākus un grūtāk atklājamus.