Вредоносное ПО DownEx

По данным исследователей информационной безопасности, правительственные организации в Центральной Азии стали объектом целенаправленной и комплексной шпионской кампании. В этой операции используется новый тип вредоносного ПО под названием DownEx, который ранее был неизвестен экспертам. Атаки до сих пор не были приписаны какой-либо конкретной APT (Advanced Persistent Threat) или группе киберпреступников, но доказательства указывают на причастность субъектов, базирующихся в России.

Первый зарегистрированный инцидент с вредоносным ПО DownEx произошел в Казахстане, где в конце 2022 года была предпринята точечная атака на иностранные государственные учреждения. Позже еще одна атака была замечена в Афганистане. Использование документа с дипломатической тематикой для заманивания жертв и сосредоточенность злоумышленников на сборе конфиденциальных данных убедительно свидетельствуют о причастности группы, спонсируемой государством. Однако личность хакерского наряда пока не подтверждена. Операция все еще продолжается, и возможны дальнейшие атаки, предупреждают исследователи Bitdefender, опубликовавшие отчет об угрозе и связанной с ней активности атак.

Цепочка атак вредоносного ПО DownEx начинается с сообщений-приманок

Подозревается, что первоначальным средством вторжения в рамках шпионской кампании было адресное фишинговое электронное письмо, содержащее угрожающую полезную нагрузку. Указанная полезная нагрузка представляет собой исполняемый файл загрузчика, замаскированный под документ Microsoft Word. После открытия вложения извлекаются два файла, один из которых является поддельным документом, который показывается жертве как приманка. Одновременно в фоновом режиме запускается файл вредоносного HTML-приложения (.HTA), содержащий код VBScript.

Файл HTA предназначен для установления связи с удаленным сервером управления и контроля (C2, C&C) для получения полезной нагрузки следующего этапа. Точная природа этого вредоносного инструмента пока не разглашается, но считается, что это бэкдор, предназначенный для обеспечения устойчивости в взломанной системе. Это говорит о том, что кампания проводится высокоорганизованным и изощренным злоумышленником, скорее всего, группой, спонсируемой государством, с упором на кражу данных из иностранных государственных учреждений.

Дополнительные инструменты угроз, развернутые вместе с вредоносным ПО DownEx

Наблюдались две разные версии вредоносного ПО DownEx. Первый вариант использует промежуточный VBScript для сбора и отправки файлов на удаленный сервер в виде ZIP-архива. Второй вариант загружается с помощью сценария VBE с именем slmgr.vibe и использует VBScript вместо C++. Несмотря на разные языки программирования, вторая версия сохраняет те же вредоносные возможности, что и первая.

Второй вариант вредоносного ПО DownEx использует бесфайловую технику атаки. Это означает, что скрипт DownEx выполняется только в памяти и никогда не касается диска зараженного устройства. Этот метод подчеркивает растущую изощренность современных кибератак и показывает, что киберпреступники разрабатывают новые методы, чтобы сделать свои атаки более эффективными и трудными для обнаружения.