DownEx Malware

Ifølge infosec-forskere er statslige organisationer i Centralasien blevet fokus for en målrettet og kompleks spionagekampagne. Denne operation bruger en ny type malware kaldet DownEx, som tidligere var ukendt for eksperterne. Angrebene er indtil videre ikke blevet tilskrevet en specifik APT (Advanced Persistent Threat) eller cyberkriminel gruppe, men beviser peger på involvering af aktører baseret i Rusland.

Den første rapporterede hændelse, der involverede DownEx-malwaren, fandt sted i Kasakhstan, hvor et meget målrettet angreb blev lanceret mod udenlandske regeringsinstitutioner i slutningen af 2022. Et andet angreb blev senere observeret i Afghanistan. Brugen af et dokument med et diplomatisk tema for at lokke ofre og angribernes fokus på at indsamle følsomme data tyder stærkt på involvering af en statsstøttet gruppe. Identiteten af hackertøjet er dog endnu ikke bekræftet. Operationen er stadig i gang, og yderligere angreb kan forekomme, advarer forskerne hos Bitdefender, som udgav en rapport om truslen og dens tilhørende angrebsaktivitet.

DownEx Malware-angrebskæden begynder med lokkemeddelelser

Det er mistanke om, at den første indtrængen til spionagekampagnen involverede en spear-phishing-e-mail med en truende nyttelast. Den nævnte nyttelast er en eksekverbar loader forklædt som et Microsoft Word-dokument. Når den vedhæftede fil er åbnet, udpakkes to filer, hvoraf den ene er et falsk dokument, der vises til offeret som et lokkemiddel. Samtidig kører en ondsindet HTML-applikationsfil (.HTA) indeholdende VBScript-kode i baggrunden.

HTA-filen er designet til at etablere kontakt med en ekstern Command-and-Control-server (C2, C&C) for at opnå næste trins nyttelast. Den nøjagtige karakter af dette malware-værktøj blev ikke afsløret endnu, men det menes at være en bagdør, der har til opgave at etablere persistens på det brudte system. Dette tyder på, at kampagnen udføres af en højt organiseret og sofistikeret trusselsaktør, højst sandsynligt en statssponsoreret gruppe, med fokus på dataeksfiltrering fra udenlandske statsinstitutioner.

Yderligere truende værktøjer installeret sammen med DownEx-malwaren

To forskellige versioner af DownEx Malware er blevet observeret. Den første variant bruger et mellemliggende VBScript til at indsamle og sende filer til en fjernserver i form af et ZIP-arkiv. Den anden variant downloades via et VBE-script kaldet slmgr.vibe og bruger VBScript i stedet for C++. På trods af de forskellige programmeringssprog bevarer den anden version de samme ondsindede egenskaber som den første.

Den anden DownEx Malware-variant anvender en filløs angrebsteknik. Dette betyder, at DownEx-scriptet kun udføres i hukommelsen og aldrig rører disken på den inficerede enhed. Denne teknik fremhæver den voksende sofistikering af moderne cyberangreb og viser, at cyberkriminelle udvikler nye metoder til at gøre deres angreb mere effektive og sværere at opdage.