Złośliwe oprogramowanie DownEx
Według badaczy Infosec organizacje rządowe w Azji Środkowej stały się celem ukierunkowanej i złożonej kampanii szpiegowskiej. Operacja ta wykorzystuje nowy rodzaj złośliwego oprogramowania o nazwie DownEx, który wcześniej był nieznany ekspertom. Jak dotąd ataków nie przypisano konkretnemu atakowi APT (Advanced Persistent Threat) ani grupie cyberprzestępczej, ale dowody wskazują na udział podmiotów z Rosji.
Pierwszy zgłoszony incydent ze szkodliwym oprogramowaniem DownEx miał miejsce w Kazachstanie, gdzie pod koniec 2022 r. przeprowadzono wysoce ukierunkowany atak na zagraniczne instytucje rządowe. Kolejny atak zaobserwowano później w Afganistanie. Wykorzystanie dokumentu o tematyce dyplomatycznej do zwabienia ofiar oraz skupienie się atakujących na zbieraniu poufnych danych zdecydowanie sugeruje zaangażowanie grupy sponsorowanej przez państwo. Jednak tożsamość zespołu hakerskiego nie została jeszcze potwierdzona. Operacja wciąż trwa i mogą wystąpić kolejne ataki, ostrzegają badacze z Bitdefender, którzy opublikowali raport na temat zagrożenia i związanej z nim aktywności ataków.
Łańcuch ataków złośliwego oprogramowania DownEx rozpoczyna się od komunikatów wabiących
Podejrzewa się, że początkowy sposób włamania do kampanii szpiegowskiej obejmował wiadomość e-mail typu spear phishing, zawierającą groźbę. Wspomniany ładunek to plik wykonywalny programu ładującego przebrany za dokument Microsoft Word. Po otwarciu załącznika wyodrębniane są dwa pliki, z których jeden jest fałszywym dokumentem pokazywanym ofierze jako przynęta. Jednocześnie w tle działa złośliwy plik aplikacji HTML (.HTA) zawierający kod VBScript.
Plik HTA ma na celu nawiązanie kontaktu ze zdalnym serwerem dowodzenia i kontroli (C2, C&C) w celu uzyskania ładunku następnego etapu. Dokładna natura tego szkodliwego narzędzia nie została jeszcze ujawniona, ale uważa się, że jest to backdoor, którego zadaniem jest ustanowienie trwałości w zaatakowanym systemie. Sugeruje to, że kampania jest prowadzona przez wysoce zorganizowanego i wyrafinowanego cyberprzestępcę, najprawdopodobniej grupę sponsorowaną przez państwo, z naciskiem na eksfiltrację danych z zagranicznych instytucji rządowych.
Dodatkowe niebezpieczne narzędzia wdrożone wraz ze złośliwym oprogramowaniem DownEx
Zaobserwowano dwie różne wersje złośliwego oprogramowania DownEx. Pierwszy wariant wykorzystuje pośredni VBScript do zbierania i wysyłania plików na zdalny serwer w formie archiwum ZIP. Drugi wariant jest pobierany za pomocą skryptu VBE o nazwie slmgr.vibe i używa VBScript zamiast C++. Pomimo różnych języków programowania, druga wersja zachowuje te same szkodliwe możliwości, co pierwsza.
Drugi wariant DownEx Malware wykorzystuje technikę ataku bez plików. Oznacza to, że skrypt DownEx jest wykonywany tylko w pamięci i nigdy nie dotyka dysku zainfekowanego urządzenia. Ta technika podkreśla rosnące wyrafinowanie współczesnych cyberataków i pokazuje, że cyberprzestępcy opracowują nowe metody, aby ich ataki były bardziej skuteczne i trudniejsze do wykrycia.
