DownEx Malware
Ayon sa mga mananaliksik ng infosec, ang mga organisasyon ng gobyerno sa Central Asia ay naging pokus ng isang target at kumplikadong kampanya ng espiya. Gumagamit ang operasyong ito ng bagong uri ng malware na tinatawag na DownEx, na dati ay hindi alam ng mga eksperto. Ang mga pag-atake sa ngayon ay hindi pa naiugnay sa isang partikular na APT (Advanced Persistent Threat) o cybercriminal group, ngunit ang ebidensya ay tumutukoy sa pagkakasangkot ng mga aktor na nakabase sa Russia.
Ang unang naiulat na insidente na kinasasangkutan ng DownEx malware ay naganap sa Kazakhstan, kung saan ang isang mataas na target na pag-atake ay inilunsad laban sa mga dayuhang institusyon ng pamahalaan noong huling bahagi ng 2022. Ang isa pang pag-atake ay naobserbahan sa kalaunan sa Afghanistan. Ang paggamit ng isang dokumento na may diplomatikong tema upang akitin ang mga biktima at ang pagtutok ng mga umaatake sa pagkolekta ng sensitibong data ay lubos na nagmumungkahi ng paglahok ng isang grupong inisponsor ng estado. Gayunpaman, ang pagkakakilanlan ng sangkap ng pag-hack ay hindi pa nakumpirma. Patuloy pa rin ang operasyon, at maaaring mangyari ang karagdagang pag-atake, babalaan ang mga mananaliksik sa Bitdefender, na naglabas ng ulat tungkol sa banta at nauugnay na aktibidad ng pag-atake nito.
Nagsisimula ang DownEx Malware Attack Chain sa Mga Mensahe sa Pag-akit
Pinaghihinalaang ang unang paraan ng panghihimasok para sa kampanyang espionage ay nagsasangkot ng isang spear-phishing na email na may dalang nagbabantang kargamento. Ang nasabing payload ay isang loader executable na itinago bilang isang dokumento ng Microsoft Word. Sa sandaling mabuksan ang attachment, dalawang file ang na-extract, ang isa ay isang pekeng dokumento na ipinapakita sa biktima bilang isang decoy. Sabay-sabay, tumatakbo sa background ang isang malisyosong HTML application (.HTA) na file na naglalaman ng VBScript code.
Ang HTA file ay idinisenyo upang magtatag ng pakikipag-ugnayan sa isang remote na Command-and-Control (C2, C&C) server upang makuha ang susunod na yugto ng kargamento. Ang eksaktong katangian ng tool na ito ng malware ay hindi pa ibinunyag, ngunit pinaniniwalaan na ito ay isang backdoor na nakatalaga sa pagtatatag ng pagtitiyaga sa nilabag na sistema. Iminumungkahi nito na ang kampanya ay isinasagawa ng isang lubos na organisado at sopistikadong aktor ng pagbabanta, malamang na isang grupong itinataguyod ng estado, na may pagtuon sa pag-exfiltrate ng data mula sa mga institusyon ng dayuhang pamahalaan.
Karagdagang Mga Tool sa Pagbabanta na Ini-deploy Kasabay ng DownEx Malware
Dalawang magkaibang bersyon ng DownEx Malware ang naobserbahan. Ang unang variant ay gumagamit ng isang intermediate na VBScript upang mangolekta at magpadala ng mga file sa isang malayuang server sa anyo ng isang ZIP archive. Ang pangalawang variant ay dina-download sa pamamagitan ng VBE script na tinatawag na slmgr.vibe at gumagamit ng VBScript sa halip na C++. Sa kabila ng iba't ibang mga programming language, ang pangalawang bersyon ay nagpapanatili ng parehong malisyosong mga kakayahan tulad ng una.
Ang pangalawang variant ng DownEx Malware ay gumagamit ng isang walang file na pamamaraan ng pag-atake. Nangangahulugan ito na ang DownEx script ay isinasagawa sa memorya lamang at hindi kailanman hinawakan ang disk ng nahawaang device. Itinatampok ng diskarteng ito ang lumalagong pagiging sopistikado ng mga modernong cyberattack at ipinapakita na ang mga cybercriminal ay gumagawa ng mga bagong pamamaraan upang gawing mas epektibo at mas mahirap matukoy ang kanilang mga pag-atake.
