Zlonamerna programska oprema DownEx

Po mnenju raziskovalcev Infosec so vladne organizacije v Srednji Aziji postale žarišče ciljne in zapletene vohunske kampanje. Ta operacija uporablja novo vrsto zlonamerne programske opreme, imenovano DownEx, ki je strokovnjaki prej niso poznali. Napadov doslej še niso pripisali določeni APT (Advanced Persistent Threat) ali skupini kibernetskih kriminalcev, vendar dokazi kažejo na vpletenost akterjev s sedežem v Rusiji.

Prvi prijavljeni incident, ki je vključeval zlonamerno programsko opremo DownEx, se je zgodil v Kazahstanu, kjer je bil konec leta 2022 izveden zelo ciljno usmerjen napad na tuje vladne institucije. Še en napad so pozneje opazili v Afganistanu. Uporaba dokumenta z diplomatsko temo za zvabljanje žrtev in osredotočenost napadalcev na zbiranje občutljivih podatkov močno nakazujeta vpletenost skupine, ki jo sponzorira država. Vendar pa identiteta hekerske opreme še ni potrjena. Operacija še vedno poteka in lahko pride do nadaljnjih napadov, opozarjajo raziskovalci Bitdefenderja, ki so objavili poročilo o grožnji in z njo povezani napadalni dejavnosti.

Veriga napadov zlonamerne programske opreme DownEx se začne z mamljivimi sporočili

Domneva se, da je prvotno sredstvo vdora za vohunsko kampanjo vključevalo e-poštno sporočilo z lažnim predstavljanjem, ki je nosilo grozeče vsebine. Omenjeni koristni tovor je izvedljiva datoteka nalagalnika, prikrita kot dokument Microsoft Word. Ko se priponka odpre, se ekstrahirata dve datoteki, od katerih je ena ponarejen dokument, ki se žrtvi pokaže kot vaba. Hkrati se v ozadju izvaja datoteka zlonamerne aplikacije HTML (.HTA), ki vsebuje kodo VBScript.

Datoteka HTA je zasnovana za vzpostavitev stika z oddaljenim strežnikom za vodenje in nadzor (C2, C&C) za pridobitev tovora naslednje stopnje. Natančna narava tega orodja zlonamerne programske opreme še ni bila razkrita, vendar se domneva, da gre za stranska vrata, katerih naloga je vzpostaviti obstojnost v poškodovanem sistemu. To nakazuje, da kampanjo izvaja visoko organiziran in prefinjen akter grožnje, najverjetneje skupina, ki jo sponzorira država, s poudarkom na izločanju podatkov iz tujih vladnih institucij.

Dodatna orodja za grožnje, nameščena poleg zlonamerne programske opreme DownEx

Opaženi sta bili dve različni različici zlonamerne programske opreme DownEx. Prva različica uporablja vmesni VBScript za zbiranje in pošiljanje datotek na oddaljeni strežnik v obliki arhiva ZIP. Druga različica se prenese prek skripta VBE, imenovanega slmgr.vibe, in uporablja VBScript namesto C++. Kljub različnim programskim jezikom druga različica ohranja enake zlonamerne zmogljivosti kot prva.

Druga različica zlonamerne programske opreme DownEx uporablja tehniko napada brez datotek. To pomeni, da se skript DownEx izvaja samo v pomnilniku in se nikoli ne dotakne diska okužene naprave. Ta tehnika poudarja vse večjo sofisticiranost sodobnih kibernetskih napadov in kaže, da kibernetski kriminalci razvijajo nove metode, da bodo njihovi napadi učinkovitejši in težje odkriti.