DownEx Malware

Enligt infosec-forskare har statliga organisationer i Centralasien blivit fokus för en riktad och komplex spionagekampanj. Denna operation använder en ny typ av skadlig programvara som kallas DownEx, som tidigare var okänd för experterna. Attackerna har hittills inte tillskrivits en specifik APT (Advanced Persistent Threat) eller cyberkriminell grupp, men bevis pekar på inblandning av aktörer baserade i Ryssland.

Den första rapporterade incidenten som involverade DownEx skadlig programvara inträffade i Kazakstan, där en mycket riktad attack inleddes mot utländska statliga institutioner i slutet av 2022. En annan attack observerades senare i Afghanistan. Användningen av ett dokument med ett diplomatiskt tema för att locka offer och angriparnas fokus på att samla in känslig data tyder starkt på att en statligt sponsrad grupp är involverad. Men identiteten för hackeroutfiten har ännu inte bekräftats. Operationen pågår fortfarande, och ytterligare attacker kan inträffa, varnar forskarna på Bitdefender, som släppte en rapport om hotet och dess associerade attackaktivitet.

DownEx Malware Attack Chain börjar med Lure Messages

Det misstänks att det första intrångssättet för spionerikampanjen var ett e-postmeddelande med spjutfiske med en hotfull nyttolast. Den nämnda nyttolasten är en loader-körbar förklädd som ett Microsoft Word-dokument. När bilagan väl har öppnats extraheras två filer, varav en är ett falskt dokument som visas för offret som ett lockbete. Samtidigt körs en skadlig HTML-programfil (.HTA) som innehåller VBScript-kod i bakgrunden.

HTA-filen är utformad för att upprätta kontakt med en fjärrstyrd kommando-och-kontroll-server (C2, C&C) för att erhålla nästa nyttolast. Den exakta karaktären av detta skadliga verktyg har inte avslöjats ännu, men det tros vara en bakdörr som har till uppgift att etablera persistens på det brutna systemet. Detta tyder på att kampanjen genomförs av en mycket organiserad och sofistikerad hotaktör, troligen en statligt sponsrad grupp, med fokus på dataexfiltrering från utländska statliga institutioner.

Ytterligare hotfulla verktyg utplacerade tillsammans med DownEx Malware

Två olika versioner av DownEx Malware har observerats. Den första varianten använder ett mellanliggande VBScript för att samla in och skicka filer till en fjärrserver i form av ett ZIP-arkiv. Den andra varianten laddas ner via ett VBE-skript som heter slmgr.vibe och använder VBScript istället för C++. Trots de olika programmeringsspråken behåller den andra versionen samma skadliga funktioner som den första.

Den andra DownEx Malware-varianten använder en fillös attackteknik. Detta innebär att DownEx-skriptet endast körs i minnet och aldrig vidrör disken på den infekterade enheten. Denna teknik belyser den växande sofistikeringen av moderna cyberattacker och visar att cyberbrottslingar utvecklar nya metoder för att göra sina attacker mer effektiva och svårare att upptäcka.