Шкідливе програмне забезпечення DownEx

За словами дослідників Infosec, урядові організації в Центральній Азії опинилися в центрі цілеспрямованої та складної шпигунської кампанії. Ця операція використовує новий тип шкідливого програмного забезпечення під назвою DownEx, який раніше був невідомий експертам. Наразі ці атаки не пов’язані з конкретною групою APT (Advanced Persistent Threat) або групою кіберзлочинців, але докази вказують на причетність акторів із Росії.

Перший зареєстрований інцидент із зловмисним програмним забезпеченням DownEx стався в Казахстані, де наприкінці 2022 року було здійснено цілеспрямовану атаку на іноземні державні установи. Ще одну атаку пізніше спостерігали в Афганістані. Використання документа з дипломатичною тематикою для заманювання жертв і зосередженість зловмисників на зборі конфіденційних даних переконливо вказують на причетність групи, яка фінансується державою. Однак особу хакерського наряду поки не підтверджено. Операція все ще триває, і можуть статися нові атаки, попереджають дослідники Bitdefender, які опублікували звіт про загрозу та пов’язану з нею атаку.

Ланцюжок атак зловмисного програмного забезпечення DownEx починається з спокусливих повідомлень

Підозрюється, що початковим засобом проникнення для шпигунської кампанії був фішинговий електронний лист із загрозливим вмістом. Зазначене корисне навантаження є виконуваним файлом завантажувача, замаскованим під документ Microsoft Word. Після відкриття вкладеного файлу витягуються два файли, один з яких є підробленим документом, який демонструється жертві як приманка. Одночасно у фоновому режимі працює файл шкідливої програми HTML (.HTA), що містить код VBScript.

Файл HTA призначений для встановлення зв’язку з віддаленим сервером командування та керування (C2, C&C) для отримання корисного навантаження наступного етапу. Точна природа цього інструменту зловмисного програмного забезпечення поки не розголошується, але вважається, що це бекдор, завданням якого є встановлення стійкості зламаної системи. Це свідчить про те, що кампанію проводить високоорганізований і досвідчений загрозливий актор, швидше за все, спонсорована державою група, зосереджена на викраденні даних з іноземних державних установ.

Додаткові загрозливі інструменти, розгорнуті разом із шкідливим програмним забезпеченням DownEx

Було виявлено дві різні версії зловмисного програмного забезпечення DownEx. Перший варіант використовує проміжний VBScript для збору та відправки файлів на віддалений сервер у вигляді ZIP-архіву. Другий варіант завантажується через сценарій VBE під назвою slmgr.vibe і використовує VBScript замість C++. Незважаючи на різні мови програмування, друга версія зберігає ті ж шкідливі можливості, що й перша.

Другий варіант зловмисного програмного забезпечення DownEx використовує техніку безфайлової атаки. Це означає, що сценарій DownEx виконується лише в пам’яті й ніколи не торкається диска зараженого пристрою. Ця техніка підкреслює зростаючу складність сучасних кібератак і показує, що кіберзлочинці розробляють нові методи, щоб зробити свої атаки ефективнішими та складнішими для виявлення.