DownEx Malware

Ifølge infosec-forskere har offentlige organisasjoner i Sentral-Asia blitt fokus for en målrettet og kompleks spionasjekampanje. Denne operasjonen bruker en ny type skadelig programvare kalt DownEx, som tidligere var ukjent for ekspertene. Angrepene har så langt ikke blitt tilskrevet en spesifikk APT (Advanced Persistent Threat) eller nettkriminell gruppe, men bevis tyder på involvering av aktører basert i Russland.

Den første rapporterte hendelsen som involverte DownEx-malwaren skjedde i Kasakhstan, hvor et svært målrettet angrep ble satt i gang mot utenlandske statlige institusjoner sent i 2022. Et annet angrep ble senere observert i Afghanistan. Bruken av et dokument med et diplomatisk tema for å lokke ofre og angripernes fokus på å samle inn sensitive data tyder sterkt på involvering av en statsstøttet gruppe. Imidlertid er identiteten til hackerantrekket ennå ikke bekreftet. Operasjonen pågår fortsatt, og ytterligere angrep kan forekomme, advarer forskerne ved Bitdefender, som la ut en rapport om trusselen og dens tilhørende angrepsaktivitet.

DownEx Malware-angrepskjeden begynner med lokkemeldinger

Det er mistenkt at den første inntrengningsmetoden for spionkampanjen involverte en spyd-phishing-e-post med en truende nyttelast. Nevnte nyttelast er en kjørbar laster forkledd som et Microsoft Word-dokument. Når vedlegget er åpnet, trekkes to filer ut, hvorav den ene er et falskt dokument som vises til offeret som et lokkemiddel. Samtidig kjører en ondsinnet HTML-programfil (.HTA) som inneholder VBScript-kode i bakgrunnen.

HTA-filen er utformet for å etablere kontakt med en ekstern kommando-og-kontroll-server (C2, C&C) for å få nyttelasten i neste trinn. Den nøyaktige arten av dette skadevareverktøyet er ikke avslørt ennå, men det antas å være en bakdør som har til oppgave å etablere utholdenhet på det brutte systemet. Dette tyder på at kampanjen blir utført av en svært organisert og sofistikert trusselaktør, mest sannsynlig en statsstøttet gruppe, med fokus på dataeksfiltrering fra utenlandske statlige institusjoner.

Ytterligere truende verktøy utplassert ved siden av DownEx-malware

To forskjellige versjoner av DownEx Malware har blitt observert. Den første varianten bruker et mellomliggende VBScript for å samle inn og sende filer til en ekstern server i form av et ZIP-arkiv. Den andre varianten lastes ned via et VBE-skript kalt slmgr.vibe og bruker VBScript i stedet for C++. Til tross for de forskjellige programmeringsspråkene, beholder den andre versjonen de samme skadelige egenskapene som den første.

Den andre DownEx Malware-varianten bruker en filløs angrepsteknikk. Dette betyr at DownEx-skriptet kun kjøres i minnet og aldri berører disken til den infiserte enheten. Denne teknikken fremhever den økende sofistikeringen av moderne cyberangrep og viser at cyberkriminelle utvikler nye metoder for å gjøre angrepene deres mer effektive og vanskeligere å oppdage.