DownEx Malware
ఇన్ఫోసెక్ పరిశోధకుల అభిప్రాయం ప్రకారం, మధ్య ఆసియాలోని ప్రభుత్వ సంస్థలు లక్ష్యంగా మరియు సంక్లిష్టమైన గూఢచర్య ప్రచారానికి కేంద్రంగా మారాయి. ఈ ఆపరేషన్ DownEx అనే కొత్త రకం మాల్వేర్ని ఉపయోగిస్తుంది, ఇది మునుపు నిపుణులకు తెలియదు. దాడులు ఇప్పటివరకు నిర్దిష్ట APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) లేదా సైబర్క్రిమినల్ గ్రూప్కు ఆపాదించబడలేదు, అయితే రష్యాలో ఉన్న నటీనటుల ప్రమేయాన్ని ఆధారాలు సూచిస్తున్నాయి.
డౌన్ఎక్స్ మాల్వేర్తో సంబంధం ఉన్న మొదటి సంఘటన కజకిస్తాన్లో జరిగింది, ఇక్కడ 2022 చివరిలో విదేశీ ప్రభుత్వ సంస్థలపై అత్యంత లక్ష్యంగా దాడి జరిగింది. తర్వాత ఆఫ్ఘనిస్తాన్లో మరో దాడి జరిగింది. బాధితులను ఆకర్షించడానికి దౌత్యపరమైన థీమ్తో కూడిన పత్రాన్ని ఉపయోగించడం మరియు సున్నితమైన డేటాను సేకరించడంపై దాడి చేసేవారి దృష్టి రాష్ట్ర-ప్రాయోజిత సమూహం యొక్క ప్రమేయాన్ని గట్టిగా సూచిస్తుంది. అయితే, హ్యాకింగ్ దుస్తులకు సంబంధించిన గుర్తింపు ఇంకా నిర్ధారించబడలేదు. ఆపరేషన్ ఇంకా కొనసాగుతోంది మరియు మరిన్ని దాడులు సంభవించవచ్చు, బెదిరింపు మరియు దాని అనుబంధ దాడి కార్యకలాపాలపై నివేదికను విడుదల చేసిన Bitdefender పరిశోధకులు హెచ్చరిస్తున్నారు.
DownEx Malware అటాక్ చైన్ లూర్ మెసేజ్లతో ప్రారంభమవుతుంది
గూఢచర్యం ప్రచారం కోసం చొరబాటు యొక్క ప్రారంభ సాధనాలు బెదిరింపు పేలోడ్ను మోసుకెళ్ళే స్పియర్-ఫిషింగ్ ఇమెయిల్ను కలిగి ఉన్నట్లు అనుమానించబడింది. చెప్పబడిన పేలోడ్ అనేది మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ వలె మారువేషంలో ఉన్న లోడర్ ఎక్జిక్యూటబుల్. అటాచ్మెంట్ తెరిచిన తర్వాత, రెండు ఫైల్లు సంగ్రహించబడతాయి, వాటిలో ఒకటి నకిలీ పత్రం, అది బాధితుడికి డెకోయ్గా చూపబడుతుంది. అదే సమయంలో, VBScript కోడ్ని కలిగి ఉన్న హానికరమైన HTML అప్లికేషన్ (.HTA) ఫైల్ నేపథ్యంలో నడుస్తుంది.
HTA ఫైల్ తదుపరి-దశ పేలోడ్ను పొందేందుకు రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్తో పరిచయాన్ని ఏర్పరచుకోవడానికి రూపొందించబడింది. ఈ మాల్వేర్ సాధనం యొక్క ఖచ్చితమైన స్వభావాన్ని ఇంకా బహిర్గతం చేయలేదు, అయితే ఇది ఉల్లంఘించిన సిస్టమ్పై పట్టుదలను ఏర్పరచడానికి బాధ్యత వహించే బ్యాక్డోర్ అని నమ్ముతారు. విదేశీ ప్రభుత్వ సంస్థల నుండి డేటా వెలికితీతపై దృష్టి సారించి, అత్యంత వ్యవస్థీకృత మరియు అధునాతన బెదిరింపు నటుడు, ఎక్కువగా రాష్ట్ర-ప్రాయోజిత సమూహం ద్వారా ఈ ప్రచారాన్ని నిర్వహిస్తున్నారని ఇది సూచిస్తుంది.
DownEx మాల్వేర్తో పాటు అదనపు బెదిరింపు సాధనాలు అమలు చేయబడ్డాయి
DownEx మాల్వేర్ యొక్క రెండు వేర్వేరు సంస్కరణలు గమనించబడ్డాయి. మొదటి రూపాంతరం జిప్ ఆర్కైవ్ రూపంలో రిమోట్ సర్వర్కు ఫైల్లను సేకరించి పంపడానికి ఇంటర్మీడియట్ VBScriptను ఉపయోగిస్తుంది. రెండవ రూపాంతరం slmgr.vibe అని పిలువబడే VBE స్క్రిప్ట్ ద్వారా డౌన్లోడ్ చేయబడింది మరియు C++కి బదులుగా VBScriptని ఉపయోగిస్తుంది. విభిన్న ప్రోగ్రామింగ్ భాషలు ఉన్నప్పటికీ, రెండవ సంస్కరణ మొదటిది వలె అదే హానికరమైన సామర్థ్యాలను కలిగి ఉంది.
రెండవ DownEx మాల్వేర్ వేరియంట్ ఫైల్లెస్ అటాక్ టెక్నిక్ని ఉపయోగిస్తుంది. దీని అర్థం DownEx స్క్రిప్ట్ మెమరీలో మాత్రమే అమలు చేయబడుతుంది మరియు సోకిన పరికరం యొక్క డిస్క్ను ఎప్పుడూ తాకదు. ఈ సాంకేతికత ఆధునిక సైబర్టాక్ల యొక్క పెరుగుతున్న అధునాతనతను హైలైట్ చేస్తుంది మరియు సైబర్ నేరస్థులు తమ దాడులను మరింత ప్రభావవంతంగా మరియు గుర్తించడం కష్టతరం చేయడానికి కొత్త పద్ధతులను అభివృద్ధి చేస్తున్నారని చూపిస్తుంది.