DownEx Kötü Amaçlı Yazılım
Infosec araştırmacılarına göre Orta Asya'daki hükümet kuruluşları, hedefli ve karmaşık bir casusluk kampanyasının odak noktası haline geldi. Bu işlem, daha önce uzmanlar tarafından bilinmeyen DownEx adlı yeni bir tür kötü amaçlı yazılım kullanıyor. Saldırılar şu ana kadar belirli bir APT'ye (Gelişmiş Kalıcı Tehdit) veya siber suç grubuna atfedilmedi, ancak kanıtlar Rusya merkezli aktörlerin işin içinde olduğuna işaret ediyor.
DownEx kötü amaçlı yazılımını içeren ilk bildirilen olay, 2022'nin sonlarında yabancı devlet kurumlarına karşı oldukça hedefli bir saldırının başlatıldığı Kazakistan'da meydana geldi. Daha sonra Afganistan'da başka bir saldırı gözlemlendi. Kurbanları cezbetmek için diplomatik temalı bir belgenin kullanılması ve saldırganların hassas verileri toplamaya odaklanması, devlet destekli bir grubun işin içinde olduğunu kuvvetle akla getiriyor. Ancak, bilgisayar korsanlığı ekibinin kimliği henüz doğrulanmadı. Tehdit ve bununla ilişkili saldırı etkinliği hakkında bir rapor yayınlayan Bitdefender'daki araştırmacıları, operasyon hala devam ediyor ve başka saldırıların meydana gelebileceği konusunda uyarıyorlar.
DownEx Kötü Amaçlı Yazılım Saldırı Zinciri Yem Mesajlarıyla Başlıyor
Casusluk kampanyası için izinsiz girişin ilk yolunun, tehdit edici bir yük taşıyan hedef odaklı kimlik avı e-postası içerdiğinden şüpheleniliyor. Bahsedilen faydalı yük, bir Microsoft Word belgesi kılığında yürütülebilir bir yükleyicidir. Ek açıldıktan sonra iki dosya ayıklanır, bunlardan biri kurbana yem olarak gösterilen sahte bir belgedir. Eşzamanlı olarak, arka planda VBScript kodu içeren kötü amaçlı bir HTML uygulaması (.HTA) dosyası çalışır.
HTA dosyası, bir sonraki aşama yükünü elde etmek için uzak bir Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim kurmak üzere tasarlanmıştır. Bu kötü amaçlı yazılım aracının tam doğası henüz açıklanmadı, ancak ihlal edilen sistemde kalıcılık sağlamakla görevli bir arka kapı olduğuna inanılıyor. Bu, kampanyanın, yabancı hükümet kurumlarından veri sızdırmaya odaklanan, büyük olasılıkla devlet destekli bir grup olan oldukça organize ve sofistike bir tehdit aktörü tarafından yürütüldüğünü gösteriyor.
DownEx Kötü Amaçlı Yazılımının Yanında Dağıtılan Ek Tehdit Araçları
DownEx Kötü Amaçlı Yazılımının iki farklı versiyonu gözlemlendi. İlk değişken, dosyaları bir ZIP arşivi biçiminde bir uzak sunucuya toplamak ve göndermek için ara bir VBScript kullanır. İkinci değişken, slmgr.vibe adlı bir VBE betiği aracılığıyla indirilir ve C++ yerine VBScript kullanır. Farklı programlama dillerine rağmen, ikinci sürüm, birinci sürümle aynı kötü amaçlı yetenekleri korur.
İkinci DownEx Kötü Amaçlı Yazılım varyantı, dosyasız bir saldırı tekniği kullanır. Bu, DownEx betiğinin yalnızca bellekte yürütüldüğü ve virüslü cihazın diskine asla dokunmadığı anlamına gelir. Bu teknik, modern siber saldırıların artan karmaşıklığını vurgular ve siber suçluların saldırılarını daha etkili ve tespit edilmesini zorlaştırmak için yeni yöntemler geliştirdiğini gösterir.
