Malware DownEx
Potrivit cercetătorilor Infosec, organizațiile guvernamentale din Asia Centrală au devenit punctul central al unei campanii de spionaj țintite și complexe. Această operațiune folosește un nou tip de malware numit DownEx, care anterior nu era cunoscut experților. Până acum, atacurile nu au fost atribuite unui anume APT (Advanced Persistent Threat) sau unui grup de infractori cibernetici, dar dovezile indică implicarea unor actori cu sediul în Rusia.
Primul incident raportat care implică malware DownEx a avut loc în Kazahstan, unde a fost lansat un atac foarte țintit împotriva instituțiilor guvernamentale străine la sfârșitul anului 2022. Un alt atac a fost observat ulterior în Afganistan. Utilizarea unui document cu temă diplomatică pentru a atrage victimele și concentrarea atacatorilor pe colectarea de date sensibile sugerează cu tărie implicarea unui grup sponsorizat de stat. Cu toate acestea, identitatea ținutei de hacking nu a fost încă confirmată. Operațiunea este încă în desfășurare și pot apărea alte atacuri, avertizează cercetătorii de la Bitdefender, care au lansat un raport despre amenințare și activitatea de atac asociată acesteia.
Lanțul de atacuri malware DownEx începe cu mesajele Lure
Se suspectează că mijloacele inițiale de intruziune pentru campania de spionaj au implicat un e-mail de tip spear-phishing care transporta o sarcină utilă amenințătoare. Sarcina utilă menționată este un executabil de încărcare deghizat ca document Microsoft Word. Odată ce atașamentul este deschis, sunt extrase două fișiere, dintre care unul este un document fals care este arătat victimei ca momeală. Simultan, un fișier de aplicație HTML rău intenționat (.HTA) care conține cod VBScript rulează în fundal.
Fișierul HTA este conceput pentru a stabili contactul cu un server de comandă și control de la distanță (C2, C&C) pentru a obține încărcarea utilă din etapa următoare. Natura exactă a acestui instrument malware nu a fost încă dezvăluită, dar se crede că este o ușă din spate însărcinată cu stabilirea persistenței pe sistemul încălcat. Acest lucru sugerează că campania este realizată de un actor de amenințări extrem de organizat și sofisticat, cel mai probabil un grup sponsorizat de stat, cu accent pe exfiltrarea datelor de la instituțiile guvernamentale străine.
Instrumente suplimentare amenințătoare implementate alături de malware DownEx
Au fost observate două versiuni diferite ale malware-ului DownEx. Prima variantă folosește un VBScript intermediar pentru a colecta și trimite fișiere către un server la distanță sub forma unei arhive ZIP. A doua variantă este descărcată printr-un script VBE numit slmgr.vibe și folosește VBScript în loc de C++. În ciuda diferitelor limbaje de programare, a doua versiune păstrează aceleași capacități rău intenționate ca și prima.
A doua variantă DownEx Malware folosește o tehnică de atac fără fișiere. Aceasta înseamnă că scriptul DownEx este executat numai în memorie și nu atinge niciodată discul dispozitivului infectat. Această tehnică evidențiază sofisticarea tot mai mare a atacurilor cibernetice moderne și arată că infractorii cibernetici dezvoltă noi metode pentru a-și face atacurile mai eficiente și mai greu de detectat.
