DownEx Malware

Према истраживачима инфосец-а, владине организације у централној Азији постале су фокус циљане и сложене шпијунске кампање. Ова операција користи нови тип малвера под називом ДовнЕк, који је раније био непознат стручњацима. Напади до сада нису приписани одређеној АПТ (Адванцед Персистент Тхреат) или групи сајбер криминалаца, али докази указују на умешаност актера са седиштем у Русији.

Први пријављени инцидент који укључује малвер ДовнЕк догодио се у Казахстану, где је покренут високо циљани напад на стране владине институције крајем 2022. Још један напад је касније примећен у Авганистану. Употреба документа са дипломатском тематиком за привлачење жртава и фокус нападача на прикупљање осетљивих података снажно сугеришу умешаност групе коју спонзорише држава. Међутим, идентитет хакерске опреме још није потврђен. Операција је још увек у току и може доћи до даљих напада, упозоравају истраживачи Битдефендера, који су објавили извештај о претњи и повезаним активностима напада.

Ланац напада злонамерног софтвера ДовнЕк почиње са порукама маме

Сумња се да је иницијално средство упада у шпијунску кампању укључивало е-поруку за крађу идентитета која је носила претећи терет. Поменути корисни терет је извршни програм за учитавање прерушен у Мицрософт Ворд документ. Када се привитак отвори, издвајају се два фајла, од којих је један лажни документ који се жртви приказује као мамац. Истовремено, датотека злонамерне ХТМЛ апликације (.ХТА) која садржи ВБСцрипт код ради у позадини.

ХТА датотека је дизајнирана да успостави контакт са удаљеним сервером за команду и контролу (Ц2, Ц&Ц) ради добијања корисног оптерећења следеће фазе. Тачна природа ове алатке за малвер још није откривена, али се верује да је то позадинска врата која имају задатак да успостави упорност на пробијеном систему. Ово сугерише да кампању спроводи високо организован и софистициран актер претњи, највероватније група коју спонзорише држава, са фокусом на ексфилтрацију података из страних владиних институција.

Додатни претећи алати распоређени уз ДовнЕк малвер

Примећене су две различите верзије ДовнЕк малвера. Прва варијанта користи средњи ВБСцрипт за прикупљање и слање датотека на удаљени сервер у облику ЗИП архиве. Друга варијанта се преузима преко ВБЕ скрипте која се зове слмгр.вибе и користи ВБСцрипт уместо Ц++. Упркос различитим програмским језицима, друга верзија задржава исте злонамерне могућности као и прва.

Друга варијанта ДовнЕк малвера користи технику напада без датотека. То значи да се ДовнЕк скрипта извршава само у меморији и никада не додирује диск зараженог уређаја. Ова техника наглашава растућу софистицираност модерних сајбер напада и показује да сајбер криминалци развијају нове методе како би своје нападе учинили ефикаснијим и тежим за откривање.