DownEx मालवेयर
इन्फोसेक अनुसन्धानकर्ताहरूका अनुसार मध्य एशियाका सरकारी संस्थाहरू लक्षित र जटिल जासुसी अभियानको केन्द्रबिन्दु बनेका छन्। यस अपरेशनले DownEx भनिने नयाँ प्रकारको मालवेयर प्रयोग गर्दछ, जुन पहिले विशेषज्ञहरूलाई थाहा थिएन। आक्रमणहरू अहिलेसम्म कुनै विशिष्ट एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) वा साइबर क्रिमिनल समूहलाई श्रेय दिइएको छैन, तर प्रमाणहरूले रूसमा आधारित अभिनेताहरूको संलग्नतालाई औंल्याउँछ।
DownEx मालवेयर समावेश भएको पहिलो रिपोर्ट गरिएको घटना कजाकिस्तानमा भएको थियो, जहाँ २०२२ को अन्तमा विदेशी सरकारी संस्थाहरू विरुद्ध उच्च लक्षित आक्रमण सुरु गरिएको थियो। पछि अर्को आक्रमण अफगानिस्तानमा देखियो। कूटनीतिक विषयवस्तु भएको कागजातको प्रयोगले पीडितहरूलाई प्रलोभन दिन र संवेदनशील डाटा सङ्कलनमा आक्रमणकारीहरूको ध्यान राज्य-प्रायोजित समूहको संलग्नतालाई दृढतापूर्वक सुझाव दिन्छ। यद्यपि, ह्याकिङ संगठनको पहिचान अझै पुष्टि भएको छैन। अपरेशन अझै जारी छ, र थप आक्रमणहरू हुन सक्छ, Bitdefender मा अनुसन्धानकर्ताहरूलाई चेतावनी दिन्छन्, जसले खतरा र यससँग सम्बन्धित आक्रमण गतिविधिमा रिपोर्ट जारी गर्यो।
DownEx मालवेयर आक्रमण चेन लुर सन्देशहरूबाट सुरु हुन्छ
यो शंका गरिएको छ कि जासुसी अभियानको लागि घुसपैठको प्रारम्भिक माध्यममा धम्कीपूर्ण पेलोड बोकेको भाला-फिशिंग ईमेल समावेश छ। उक्त पेलोड एक माइक्रोसफ्ट वर्ड कागजातको रूपमा भेषमा कार्यान्वयन योग्य लोडर हो। एक पटक एट्याचमेन्ट खोलिएपछि, दुई फाइलहरू निकालिन्छन्, जसमध्ये एउटा नक्कली कागजात हो जुन पीडितलाई डिकोयको रूपमा देखाइन्छ। एकै साथ, VBScript कोड समावेश भएको एक खराब HTML अनुप्रयोग (.HTA) फाइल पृष्ठभूमिमा चल्छ।
HTA फाइललाई अर्को चरणको पेलोड प्राप्त गर्न रिमोट कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरसँग सम्पर्क स्थापित गर्न डिजाइन गरिएको हो। यस मालवेयर उपकरणको सही प्रकृति अझै खुलासा गरिएको छैन, तर यो उल्लङ्घन गरिएको प्रणालीमा दृढता स्थापना गर्नको लागि ब्याकडोर कार्य हो भन्ने विश्वास गरिन्छ। यसले सुझाव दिन्छ कि यो अभियान उच्च संगठित र परिष्कृत खतरा अभिनेता, सम्भवतः राज्य द्वारा प्रायोजित समूह, विदेशी सरकारी संस्थाहरु बाट डाटा निष्कासन मा ध्यान केन्द्रित गरीएको छ।
DownEx मालवेयरको साथमा थप धम्की दिने उपकरणहरू तैनाथ गरियो
DownEx मालवेयरको दुई फरक संस्करणहरू अवलोकन गरिएको छ। पहिलो संस्करणले जिप अभिलेखको रूपमा रिमोट सर्भरमा फाइलहरू सङ्कलन र पठाउनको लागि मध्यवर्ती VBScript प्रयोग गर्दछ। दोस्रो संस्करण slmgr.vibe भनिने VBE स्क्रिप्ट मार्फत डाउनलोड गरिन्छ र C++ को सट्टा VBScript प्रयोग गर्दछ। विभिन्न प्रोग्रामिङ भाषाहरूको बावजुद, दोस्रो संस्करणले पहिलो संस्करणको रूपमा समान दुर्भावनापूर्ण क्षमताहरू राख्छ।
दोस्रो DownEx मालवेयर भेरियन्टले फाइलरहित आक्रमण प्रविधि प्रयोग गर्दछ। यसको मतलब DownEx स्क्रिप्ट मेमोरीमा मात्र कार्यान्वयन हुन्छ र संक्रमित यन्त्रको डिस्कलाई कहिल्यै छुँदैन। यो प्रविधिले आधुनिक साइबर आक्रमणको बढ्दो परिष्कारलाई हाइलाइट गर्दछ र देखाउँछ कि साइबर अपराधीहरूले उनीहरूको आक्रमणलाई अझ प्रभावकारी र पत्ता लगाउन गाह्रो बनाउन नयाँ तरिकाहरू विकास गरिरहेका छन्।
