DownEx malvér

Podľa výskumníkov z infosec sa vládne organizácie v Strednej Ázii stali stredobodom cielenej a komplexnej špionážnej kampane. Táto operácia využíva nový typ malvéru s názvom DownEx, ktorý odborníci predtým nepoznali. Útoky zatiaľ neboli pripisované konkrétnej APT (Advanced Persistent Threat) alebo skupine kyberzločincov, ale dôkazy poukazujú na zapojenie aktérov so sídlom v Rusku.

K prvému oznámenému incidentu s malvérom DownEx došlo v Kazachstane, kde bol koncom roka 2022 spustený vysoko cielený útok proti zahraničným vládnym inštitúciám. Ďalší útok bol neskôr pozorovaný v Afganistane. Použitie dokumentu s diplomatickou tematikou na lákanie obetí a zameranie útočníkov na zhromažďovanie citlivých údajov silne naznačujú zapojenie štátom podporovanej skupiny. Identita hackerského oblečenia však zatiaľ nebola potvrdená. Operácia stále prebieha a môže dôjsť k ďalším útokom, varujú výskumníci z Bitdefender, ktorí zverejnili správu o hrozbe a s ňou spojenej útočnej aktivite.

DownEx Malware Attack Chain začína návnadou

Existuje podozrenie, že počiatočný spôsob vniknutia do špionážnej kampane zahŕňal e-mail typu spear-phishing nesúci hrozivý náklad. Uvedené užitočné zaťaženie je spustiteľný súbor nakladača maskovaný ako dokument Microsoft Word. Po otvorení prílohy sa extrahujú dva súbory, z ktorých jeden je falošný dokument, ktorý sa obeti ukáže ako návnada. Súčasne na pozadí beží škodlivý súbor HTML aplikácie (.HTA) obsahujúci kód VBScript.

Súbor HTA je navrhnutý tak, aby nadviazal kontakt so vzdialeným serverom Command-and-Control (C2, C&C) s cieľom získať užitočné zaťaženie v ďalšej fáze. Presná povaha tohto malvérového nástroja ešte nebola zverejnená, ale predpokladá sa, že ide o zadné vrátka, ktoré majú za úlohu zabezpečiť vytrvalosť na narušenom systéme. To naznačuje, že kampaň vedie vysoko organizovaný a sofistikovaný aktér hrozby, s najväčšou pravdepodobnosťou štátom podporovaná skupina, so zameraním na exfiltráciu údajov zo zahraničných vládnych inštitúcií.

Dodatočné hroziace nástroje nasadené popri malvéri DownEx

Boli pozorované dve rôzne verzie malvéru DownEx. Prvý variant používa prechodný VBScript na zhromažďovanie a odosielanie súborov na vzdialený server vo forme archívu ZIP. Druhý variant sa sťahuje cez skript VBE s názvom slmgr.vibe a namiesto C++ používa VBScript. Napriek rôznym programovacím jazykom si druhá verzia zachováva rovnaké škodlivé schopnosti ako prvá.

Druhý variant DownEx Malware využíva techniku útoku bez súborov. To znamená, že DownEx skript sa spustí iba v pamäti a nikdy sa nedotkne disku infikovaného zariadenia. Táto technika poukazuje na rastúcu sofistikovanosť moderných kybernetických útokov a ukazuje, že kyberzločinci vyvíjajú nové metódy, aby boli ich útoky efektívnejšie a ťažšie odhaliteľné.