Perisian Hasad DownEx

Menurut penyelidik infosec, organisasi kerajaan di Asia Tengah telah menjadi tumpuan kempen pengintipan yang disasarkan dan kompleks. Operasi ini menggunakan jenis perisian hasad baharu yang dipanggil DownEx, yang sebelum ini tidak diketahui oleh pakar. Serangan itu setakat ini tidak dikaitkan dengan APT tertentu (Advanced Persistent Threat) atau kumpulan penjenayah siber, tetapi bukti menunjukkan penglibatan pelakon yang berpangkalan di Rusia.

Insiden pertama yang dilaporkan melibatkan perisian hasad DownEx berlaku di Kazakhstan, di mana serangan sangat disasarkan telah dilancarkan terhadap institusi kerajaan asing pada akhir 2022. Serangan lain kemudiannya diperhatikan di Afghanistan. Penggunaan dokumen dengan tema diplomatik untuk memikat mangsa dan tumpuan penyerang untuk mengumpul data sensitif amat mencadangkan penglibatan kumpulan tajaan kerajaan. Bagaimanapun, identiti pakaian penggodaman itu masih belum disahkan. Operasi masih berterusan, dan serangan lanjut mungkin berlaku, memberi amaran kepada penyelidik di Bitdefender, yang mengeluarkan laporan mengenai ancaman dan aktiviti serangan yang berkaitan dengannya.

Rantaian Serangan Malware DownEx Bermula dengan Mesej Memikat

Adalah disyaki bahawa cara awal pencerobohan untuk kempen pengintipan melibatkan e-mel pancingan lembing yang membawa muatan yang mengancam. Muatan tersebut ialah pemuat boleh laku yang menyamar sebagai dokumen Microsoft Word. Setelah lampiran dibuka, dua fail diekstrak, salah satunya adalah dokumen palsu yang ditunjukkan kepada mangsa sebagai umpan. Pada masa yang sama, fail aplikasi HTML berniat jahat (.HTA) yang mengandungi kod VBScript berjalan di latar belakang.

Fail HTA direka bentuk untuk mewujudkan hubungan dengan pelayan Command-and-Control (C2, C&C) jauh untuk mendapatkan muatan peringkat seterusnya. Sifat sebenar alat perisian hasad ini belum didedahkan lagi, tetapi ia dipercayai sebagai pintu belakang yang ditugaskan untuk mewujudkan kegigihan pada sistem yang dilanggar. Ini menunjukkan bahawa kempen itu dijalankan oleh pelakon ancaman yang sangat teratur dan canggih, kemungkinan besar kumpulan tajaan kerajaan, dengan tumpuan kepada penyingkiran data daripada institusi kerajaan asing.

Alat Mengancam Tambahan Digunakan Bersama Perisian Hasad DownEx

Dua versi berbeza bagi Malware DownEx telah diperhatikan. Varian pertama menggunakan VBScript perantaraan untuk mengumpul dan menghantar fail ke pelayan jauh dalam bentuk arkib ZIP. Varian kedua dimuat turun melalui skrip VBE yang dipanggil slmgr.vibe dan menggunakan VBScript dan bukannya C++. Walaupun bahasa pengaturcaraan berbeza, versi kedua mengekalkan keupayaan jahat yang sama seperti yang pertama.

Varian Malware DownEx kedua menggunakan teknik serangan tanpa fail. Ini bermakna skrip DownEx dilaksanakan dalam memori sahaja dan tidak pernah menyentuh cakera peranti yang dijangkiti. Teknik ini menyerlahkan kecanggihan serangan siber moden yang semakin meningkat dan menunjukkan bahawa penjenayah siber sedang membangunkan kaedah baharu untuk menjadikan serangan mereka lebih berkesan dan lebih sukar untuk dikesan.