DownEx-malware
Volgens onderzoekers van infosec zijn overheidsorganisaties in Centraal-Azië het middelpunt geworden van een gerichte en complexe spionagecampagne. Deze operatie maakt gebruik van een nieuw type malware genaamd DownEx, dat voorheen onbekend was bij de experts. De aanvallen zijn tot nu toe niet toegeschreven aan een specifieke APT (Advanced Persistent Threat) of cybercriminele groep, maar er zijn aanwijzingen dat er in Rusland gevestigde actoren bij betrokken zijn.
Het eerste gerapporteerde incident met de DownEx-malware vond plaats in Kazachstan, waar eind 2022 een zeer gerichte aanval werd gelanceerd op buitenlandse overheidsinstellingen. Later werd een andere aanval waargenomen in Afghanistan. Het gebruik van een document met een diplomatiek thema om slachtoffers te lokken en de focus van de aanvallers op het verzamelen van gevoelige gegevens suggereert sterk de betrokkenheid van een door de staat gesponsorde groep. De identiteit van de hacker is echter nog niet bevestigd. De operatie is nog aan de gang en er kunnen nog meer aanvallen plaatsvinden, waarschuwen de onderzoekers van Bitdefender, die een rapport hebben uitgebracht over de dreiging en de bijbehorende aanvalsactiviteit.
De aanvalsketen van DownEx Malware begint met lokaasberichten
Vermoed wordt dat het aanvankelijke inbraakmiddel voor de spionagecampagne een spear-phishing-e-mail was met een dreigende lading. De genoemde payload is een uitvoerbaar bestand van de lader, vermomd als een Microsoft Word-document. Zodra de bijlage is geopend, worden er twee bestanden uitgepakt, waarvan er één een nepdocument is dat als lokaas aan het slachtoffer wordt getoond. Tegelijkertijd wordt op de achtergrond een kwaadaardig HTML-toepassingsbestand (.HTA) met VBScript-code uitgevoerd.
Het HTA-bestand is ontworpen om contact te maken met een externe Command-and-Control-server (C2, C&C) om de payload van de volgende fase te verkrijgen. De exacte aard van deze malware-tool is nog niet bekendgemaakt, maar er wordt aangenomen dat het een achterdeur is die tot taak heeft persistentie op het geschonden systeem vast te stellen. Dit suggereert dat de campagne wordt uitgevoerd door een zeer georganiseerde en geavanceerde dreigingsactor, hoogstwaarschijnlijk een door de staat gesponsorde groep, met een focus op data-exfiltratie van buitenlandse overheidsinstellingen.
Aanvullende bedreigingstools geïmplementeerd naast de DownEx-malware
Er zijn twee verschillende versies van de DownEx-malware waargenomen. De eerste variant gebruikt een tussenliggend VBScript om bestanden te verzamelen en te verzenden naar een externe server in de vorm van een ZIP-archief. De tweede variant wordt gedownload via een VBE-script genaamd slmgr.vibe en gebruikt VBScript in plaats van C++. Ondanks de verschillende programmeertalen behoudt de tweede versie dezelfde schadelijke mogelijkheden als de eerste.
De tweede DownEx Malware-variant maakt gebruik van een bestandsloze aanvalstechniek. Dit betekent dat het DownEx-script alleen in het geheugen wordt uitgevoerd en nooit de schijf van het geïnfecteerde apparaat raakt. Deze techniek benadrukt de groeiende complexiteit van moderne cyberaanvallen en laat zien dat cybercriminelen nieuwe methoden ontwikkelen om hun aanvallen effectiever en moeilijker te detecteren te maken.
