DownEx Malware

ఇన్ఫోసెక్ పరిశోధకుల అభిప్రాయం ప్రకారం, మధ్య ఆసియాలోని ప్రభుత్వ సంస్థలు లక్ష్యంగా మరియు సంక్లిష్టమైన గూఢచర్య ప్రచారానికి కేంద్రంగా మారాయి. ఈ ఆపరేషన్ DownEx అనే కొత్త రకం మాల్వేర్‌ని ఉపయోగిస్తుంది, ఇది మునుపు నిపుణులకు తెలియదు. దాడులు ఇప్పటివరకు నిర్దిష్ట APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) లేదా సైబర్‌క్రిమినల్ గ్రూప్‌కు ఆపాదించబడలేదు, అయితే రష్యాలో ఉన్న నటీనటుల ప్రమేయాన్ని ఆధారాలు సూచిస్తున్నాయి.

డౌన్‌ఎక్స్ మాల్వేర్‌తో సంబంధం ఉన్న మొదటి సంఘటన కజకిస్తాన్‌లో జరిగింది, ఇక్కడ 2022 చివరిలో విదేశీ ప్రభుత్వ సంస్థలపై అత్యంత లక్ష్యంగా దాడి జరిగింది. తర్వాత ఆఫ్ఘనిస్తాన్‌లో మరో దాడి జరిగింది. బాధితులను ఆకర్షించడానికి దౌత్యపరమైన థీమ్‌తో కూడిన పత్రాన్ని ఉపయోగించడం మరియు సున్నితమైన డేటాను సేకరించడంపై దాడి చేసేవారి దృష్టి రాష్ట్ర-ప్రాయోజిత సమూహం యొక్క ప్రమేయాన్ని గట్టిగా సూచిస్తుంది. అయితే, హ్యాకింగ్ దుస్తులకు సంబంధించిన గుర్తింపు ఇంకా నిర్ధారించబడలేదు. ఆపరేషన్ ఇంకా కొనసాగుతోంది మరియు మరిన్ని దాడులు సంభవించవచ్చు, బెదిరింపు మరియు దాని అనుబంధ దాడి కార్యకలాపాలపై నివేదికను విడుదల చేసిన Bitdefender పరిశోధకులు హెచ్చరిస్తున్నారు.

DownEx Malware అటాక్ చైన్ లూర్ మెసేజ్‌లతో ప్రారంభమవుతుంది

గూఢచర్యం ప్రచారం కోసం చొరబాటు యొక్క ప్రారంభ సాధనాలు బెదిరింపు పేలోడ్‌ను మోసుకెళ్ళే స్పియర్-ఫిషింగ్ ఇమెయిల్‌ను కలిగి ఉన్నట్లు అనుమానించబడింది. చెప్పబడిన పేలోడ్ అనేది మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ వలె మారువేషంలో ఉన్న లోడర్ ఎక్జిక్యూటబుల్. అటాచ్‌మెంట్ తెరిచిన తర్వాత, రెండు ఫైల్‌లు సంగ్రహించబడతాయి, వాటిలో ఒకటి నకిలీ పత్రం, అది బాధితుడికి డెకోయ్‌గా చూపబడుతుంది. అదే సమయంలో, VBScript కోడ్‌ని కలిగి ఉన్న హానికరమైన HTML అప్లికేషన్ (.HTA) ఫైల్ నేపథ్యంలో నడుస్తుంది.

HTA ఫైల్ తదుపరి-దశ పేలోడ్‌ను పొందేందుకు రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌తో పరిచయాన్ని ఏర్పరచుకోవడానికి రూపొందించబడింది. ఈ మాల్వేర్ సాధనం యొక్క ఖచ్చితమైన స్వభావాన్ని ఇంకా బహిర్గతం చేయలేదు, అయితే ఇది ఉల్లంఘించిన సిస్టమ్‌పై పట్టుదలను ఏర్పరచడానికి బాధ్యత వహించే బ్యాక్‌డోర్ అని నమ్ముతారు. విదేశీ ప్రభుత్వ సంస్థల నుండి డేటా వెలికితీతపై దృష్టి సారించి, అత్యంత వ్యవస్థీకృత మరియు అధునాతన బెదిరింపు నటుడు, ఎక్కువగా రాష్ట్ర-ప్రాయోజిత సమూహం ద్వారా ఈ ప్రచారాన్ని నిర్వహిస్తున్నారని ఇది సూచిస్తుంది.

DownEx మాల్వేర్‌తో పాటు అదనపు బెదిరింపు సాధనాలు అమలు చేయబడ్డాయి

DownEx మాల్వేర్ యొక్క రెండు వేర్వేరు సంస్కరణలు గమనించబడ్డాయి. మొదటి రూపాంతరం జిప్ ఆర్కైవ్ రూపంలో రిమోట్ సర్వర్‌కు ఫైల్‌లను సేకరించి పంపడానికి ఇంటర్మీడియట్ VBScriptను ఉపయోగిస్తుంది. రెండవ రూపాంతరం slmgr.vibe అని పిలువబడే VBE స్క్రిప్ట్ ద్వారా డౌన్‌లోడ్ చేయబడింది మరియు C++కి బదులుగా VBScriptని ఉపయోగిస్తుంది. విభిన్న ప్రోగ్రామింగ్ భాషలు ఉన్నప్పటికీ, రెండవ సంస్కరణ మొదటిది వలె అదే హానికరమైన సామర్థ్యాలను కలిగి ఉంది.

రెండవ DownEx మాల్వేర్ వేరియంట్ ఫైల్‌లెస్ అటాక్ టెక్నిక్‌ని ఉపయోగిస్తుంది. దీని అర్థం DownEx స్క్రిప్ట్ మెమరీలో మాత్రమే అమలు చేయబడుతుంది మరియు సోకిన పరికరం యొక్క డిస్క్‌ను ఎప్పుడూ తాకదు. ఈ సాంకేతికత ఆధునిక సైబర్‌టాక్‌ల యొక్క పెరుగుతున్న అధునాతనతను హైలైట్ చేస్తుంది మరియు సైబర్ నేరస్థులు తమ దాడులను మరింత ప్రభావవంతంగా మరియు గుర్తించడం కష్టతరం చేయడానికి కొత్త పద్ధతులను అభివృద్ధి చేస్తున్నారని చూపిస్తుంది.