DownEx มัลแวร์
จากข้อมูลของนักวิจัยของอินโฟเซค องค์กรภาครัฐในเอเชียกลางได้กลายเป็นจุดสนใจของการรณรงค์จารกรรมที่มีเป้าหมายและซับซ้อน การดำเนินการนี้ใช้มัลแวร์ประเภทใหม่ที่เรียกว่า DownEx ซึ่งก่อนหน้านี้ผู้เชี่ยวชาญไม่รู้จัก จนถึงขณะนี้ การโจมตีไม่ได้ระบุถึง APT (ภัยคุกคามต่อเนื่องขั้นสูง) หรือกลุ่มอาชญากรไซเบอร์ที่เฉพาะเจาะจง แต่หลักฐานชี้ให้เห็นถึงการมีส่วนร่วมของนักแสดงที่อยู่ในรัสเซีย
เหตุการณ์ที่มีการรายงานครั้งแรกเกี่ยวกับมัลแวร์ DownEx เกิดขึ้นในคาซัคสถาน ซึ่งมีการโจมตีแบบมีเป้าหมายสูงเพื่อโจมตีสถาบันของรัฐบาลต่างชาติในปลายปี 2565 ต่อมาพบการโจมตีอีกครั้งในอัฟกานิสถาน การใช้เอกสารที่มีเนื้อหาเกี่ยวกับการทูตเพื่อหลอกล่อเหยื่อและการที่ผู้โจมตีมุ่งเป้าไปที่การรวบรวมข้อมูลที่ละเอียดอ่อน ชี้ให้เห็นอย่างชัดเจนถึงการมีส่วนร่วมของกลุ่มที่ได้รับการสนับสนุนจากรัฐ อย่างไรก็ตาม ยังไม่มีการยืนยันตัวตนของชุดแฮ็ค การดำเนินการยังคงดำเนินต่อไป และอาจมีการโจมตีเพิ่มเติม เตือนนักวิจัยที่ Bitdefender ซึ่งเผยแพร่รายงานเกี่ยวกับภัยคุกคามและกิจกรรมการโจมตีที่เกี่ยวข้อง
ห่วงโซ่การโจมตีของมัลแวร์ DownEx เริ่มต้นด้วยข้อความล่อ
เป็นที่สงสัยว่าวิธีการเริ่มต้นของการบุกรุกสำหรับแคมเปญการจารกรรมนั้นเกี่ยวข้องกับอีเมลฟิชชิ่งแบบสเปียร์ซึ่งบรรทุกน้ำหนักบรรทุกที่คุกคาม เพย์โหลดดังกล่าวเป็นโปรแกรมเรียกทำงานของตัวโหลดที่ปลอมแปลงเป็นเอกสาร Microsoft Word เมื่อเปิดไฟล์แนบแล้ว ไฟล์สองไฟล์จะถูกแยกออก ไฟล์หนึ่งเป็นเอกสารปลอมที่แสดงให้เหยื่อเห็นเป็นเหยื่อล่อ พร้อมกันนี้ ไฟล์แอปพลิเคชัน HTML (.HTA) ที่เป็นอันตรายที่มีรหัส VBScript จะทำงานอยู่เบื้องหลัง
ไฟล์ HTA ได้รับการออกแบบมาเพื่อสร้างการติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ระยะไกลเพื่อรับเพย์โหลดขั้นต่อไป ลักษณะที่แน่นอนของเครื่องมือมัลแวร์นี้ยังไม่ได้รับการเปิดเผย แต่เชื่อว่าเป็นแบ็คดอร์ที่ได้รับมอบหมายให้สร้างการคงอยู่ของระบบที่ถูกละเมิด สิ่งนี้ชี้ให้เห็นว่าการรณรงค์นี้ดำเนินการโดยผู้คุกคามที่มีการจัดการสูงและมีความซับซ้อน ซึ่งน่าจะเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ โดยมุ่งเน้นที่การขโมยข้อมูลจากสถาบันของรัฐบาลต่างประเทศ
เครื่องมือคุกคามเพิ่มเติมที่ปรับใช้ควบคู่ไปกับมัลแวร์ DownEx
มีการตรวจพบมัลแวร์ DownEx สองเวอร์ชันที่แตกต่างกัน ตัวแปรแรกใช้ VBScript ระดับกลางเพื่อรวบรวมและส่งไฟล์ไปยังเซิร์ฟเวอร์ระยะไกลในรูปแบบของไฟล์ ZIP เวอร์ชันที่สองดาวน์โหลดผ่านสคริปต์ VBE ที่เรียกว่า slmgr.vibe และใช้ VBScript แทน C++ แม้จะมีภาษาการเขียนโปรแกรมที่แตกต่างกัน แต่เวอร์ชันที่สองยังคงมีความสามารถที่เป็นอันตรายเช่นเดียวกับเวอร์ชันแรก
มัลแวร์ DownEx ตัวที่สองใช้เทคนิคการโจมตีแบบไร้ไฟล์ ซึ่งหมายความว่าสคริปต์ DownEx จะทำงานในหน่วยความจำเท่านั้นและจะไม่แตะต้องดิสก์ของอุปกรณ์ที่ติดไวรัส เทคนิคนี้เน้นให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการโจมตีทางไซเบอร์สมัยใหม่ และแสดงให้เห็นว่าอาชญากรไซเบอร์กำลังพัฒนาวิธีการใหม่ๆ เพื่อให้การโจมตีมีประสิทธิภาพมากขึ้นและตรวจจับได้ยากขึ้น
