DownEx Malware

Sipas studiuesve të infosec, organizatat qeveritare në Azinë Qendrore janë bërë fokusi i një fushate spiunazhi të synuar dhe kompleks. Ky operacion përdor një lloj të ri malware të quajtur DownEx, i cili më parë ishte i panjohur për ekspertët. Sulmet deri më tani nuk i janë atribuar një APT (Kërcënimi i Përparuar i Përparuar) ose grupi kriminal kibernetik, por provat tregojnë për përfshirjen e aktorëve me bazë në Rusi.

Incidenti i parë i raportuar që përfshin malware DownEx ndodhi në Kazakistan, ku një sulm me shënjestër të lartë u nis kundër institucioneve qeveritare të huaja në fund të vitit 2022. Një sulm tjetër u vërejt më vonë në Afganistan. Përdorimi i një dokumenti me temë diplomatike për të joshur viktimat dhe fokusi i sulmuesve në mbledhjen e të dhënave të ndjeshme sugjerojnë fuqishëm përfshirjen e një grupi të sponsorizuar nga shteti. Megjithatë, identiteti i veshjes hakere ende nuk është konfirmuar. Operacioni është ende në vazhdim dhe mund të ndodhin sulme të mëtejshme, paralajmërojnë studiuesit në Bitdefender, të cilët lëshuan një raport mbi kërcënimin dhe aktivitetin e sulmit të lidhur me të.

Zinxhiri i sulmit të malware DownEx fillon me Mesazhet Josh

Dyshohet se mjetet fillestare të ndërhyrjes për fushatën e spiunazhit përfshinin një email phishing me shtizë që mbante një ngarkesë kërcënuese. Ngarkesa në fjalë është një ngarkues i ekzekutueshëm i maskuar si një dokument Microsoft Word. Pasi hapet bashkëngjitja, nxirren dy skedarë, njëri prej të cilëve është një dokument fals që i shfaqet viktimës si një mashtrim. Njëkohësisht, një skedar aplikacioni keqdashës HTML (.HTA) që përmban kodin VBScript funksionon në sfond.

Skedari HTA është krijuar për të krijuar kontakt me një server të komandës dhe kontrollit në distancë (C2, C&C) për të marrë ngarkesën e fazës tjetër. Natyra e saktë e këtij mjeti malware nuk u zbulua ende, por besohet se është një derë e pasme e ngarkuar me vendosjen e qëndrueshmërisë në sistemin e shkelur. Kjo sugjeron se fushata po kryhet nga një aktor kërcënimi shumë i organizuar dhe i sofistikuar, me shumë gjasa një grup i sponsorizuar nga shteti, me fokus në nxjerrjen e të dhënave nga institucionet qeveritare të huaja.

Mjete shtesë kërcënuese të vendosura së bashku me malware DownEx

Janë vërejtur dy versione të ndryshme të malware DownEx. Varianti i parë përdor një VBScript të ndërmjetëm për të mbledhur dhe dërguar skedarë në një server të largët në formën e një arkivi ZIP. Varianti i dytë shkarkohet nëpërmjet një skripti VBE të quajtur slmgr.vibe dhe përdor VBScript në vend të C++. Pavarësisht nga gjuhët e ndryshme të programimit, versioni i dytë ruan të njëjtat aftësi keqdashëse si i pari.

Varianti i dytë DownEx Malware përdor një teknikë sulmi pa skedarë. Kjo do të thotë që skripti DownEx ekzekutohet vetëm në memorie dhe nuk prek kurrë diskun e pajisjes së infektuar. Kjo teknikë thekson sofistikimin në rritje të sulmeve kibernetike moderne dhe tregon se kriminelët kibernetikë po zhvillojnë metoda të reja për t'i bërë sulmet e tyre më efektive dhe më të vështira për t'u zbuluar.