Phần mềm độc hại DownEx

Theo các nhà nghiên cứu của infosec, các tổ chức chính phủ ở Trung Á đã trở thành tâm điểm của một chiến dịch gián điệp có mục tiêu và phức tạp. Hoạt động này sử dụng một loại phần mềm độc hại mới có tên là DownEx, loại phần mềm độc hại mà trước đây các chuyên gia chưa biết đến. Các cuộc tấn công cho đến nay vẫn chưa được quy cho một APT (Mối đe dọa liên tục nâng cao) hoặc nhóm tội phạm mạng cụ thể, nhưng bằng chứng chỉ ra sự tham gia của các tác nhân có trụ sở tại Nga.

Sự cố được báo cáo đầu tiên liên quan đến phần mềm độc hại DownEx xảy ra ở Kazakhstan, nơi một cuộc tấn công có mục tiêu cao đã được thực hiện nhằm vào các tổ chức chính phủ nước ngoài vào cuối năm 2022. Một cuộc tấn công khác sau đó đã được quan sát thấy ở Afghanistan. Việc sử dụng một tài liệu có chủ đề ngoại giao để thu hút nạn nhân và việc những kẻ tấn công tập trung vào việc thu thập dữ liệu nhạy cảm cho thấy rõ ràng có sự tham gia của một nhóm được nhà nước bảo trợ. Tuy nhiên, danh tính của trang phục hack vẫn chưa được xác nhận. Các nhà nghiên cứu tại Bitdefender đã đưa ra một báo cáo về mối đe dọa và hoạt động tấn công liên quan của nó.

Chuỗi tấn công phần mềm độc hại DownEx bắt đầu bằng tin nhắn thu hút

Người ta nghi ngờ rằng phương tiện xâm nhập ban đầu cho chiến dịch gián điệp liên quan đến một email lừa đảo trực tuyến mang trọng tải đe dọa. Tải trọng nói trên là một trình tải thực thi được ngụy trang dưới dạng tài liệu Microsoft Word. Sau khi tệp đính kèm được mở, hai tệp được giải nén, một trong số đó là tài liệu giả mạo được hiển thị cho nạn nhân làm mồi nhử. Đồng thời, tệp ứng dụng HTML độc hại (.HTA) chứa mã VBScript chạy trong nền.

Tệp HTA được thiết kế để thiết lập liên hệ với máy chủ Command-and-Control (C2, C&C) từ xa để lấy tải trọng giai đoạn tiếp theo. Bản chất chính xác của công cụ phần mềm độc hại này vẫn chưa được tiết lộ, nhưng nó được cho là một cửa hậu có nhiệm vụ thiết lập sự tồn tại trên hệ thống bị vi phạm. Điều này cho thấy rằng chiến dịch đang được thực hiện bởi một tác nhân đe dọa có tổ chức cao và tinh vi, rất có thể là một nhóm được nhà nước bảo trợ, tập trung vào việc đánh cắp dữ liệu từ các tổ chức chính phủ nước ngoài.

Các công cụ đe dọa bổ sung được triển khai cùng với phần mềm độc hại DownEx

Hai phiên bản khác nhau của Phần mềm độc hại DownEx đã được phát hiện. Biến thể đầu tiên sử dụng VBScript trung gian để thu thập và gửi tệp đến máy chủ từ xa dưới dạng tệp lưu trữ ZIP. Biến thể thứ hai được tải xuống qua tập lệnh VBE có tên slmgr.vibe và sử dụng VBScript thay vì C++. Mặc dù có các ngôn ngữ lập trình khác nhau, phiên bản thứ hai vẫn giữ nguyên khả năng độc hại như phiên bản đầu tiên.

Biến thể Phần mềm độc hại DownEx thứ hai sử dụng kỹ thuật tấn công không dùng tệp. Điều này có nghĩa là tập lệnh DownEx chỉ được thực thi trong bộ nhớ và không bao giờ chạm vào đĩa của thiết bị bị nhiễm. Kỹ thuật này làm nổi bật sự tinh vi ngày càng tăng của các cuộc tấn công mạng hiện đại và cho thấy tội phạm mạng đang phát triển các phương pháp mới để làm cho các cuộc tấn công của chúng hiệu quả hơn và khó bị phát hiện hơn.