Правителствени организации в Централна Азия са обект на сложна шпионска кампания, която използва недокументиран досега щам на зловреден софтуер, наречен DownEx.
В доклад, споделен с The Hacker News, Bitdefender твърди, че дейността продължава да е активна, като доказателствата вероятно сочат участието на базирани в Русия групи.
Румънската фирма за киберсигурност заяви, че за първи път е открила злонамерения софтуер в силно насочена атака към чуждестранни правителствени институции в Казахстан в края на 2022 г. Впоследствие е наблюдавана друга атака в Афганистан.
Използването на примамлив документ на дипломатическа тематика и фокусът на кампанията върху ексфилтрацията на данни предполагат участието на спонсорирана от държавата група, въпреки че на този етап точната самоличност на хакерската организация остава неопределена.
Предполага се, че първоначалният вектор за проникване в кампанията е spear-phishing имейл, съдържащ полезен товар, който представлява зареждащ изпълним файл, маскиран като файл на Microsoft Word.
Отварянето на прикачения файл води до извличането на два файла, включително примамлив документ, който се показва на жертвата, докато във фонов режим работи злонамерено HTML приложение (.HTA) с вграден VBScript код.
Файлът HTA от своя страна е предназначен да установи контакт с отдалечен сървър за управление и контрол (C2), за да извлече полезен товар на следващия етап. Въпреки че не е известно точното естество на зловредния софтуер, се твърди, че той представлява задна врата за установяване на устойчивост.
Атаките се отличават и с това, че използват различни персонализирани инструменти за извършване на дейности след експлоатирането. Това включва.
Два други варианта на DownEx също бяха заземени, като първият от тях изпълнява междинен VBScript, за да събере и предаде файловете под формата на архив ZIP.
Другата версия, която се изтегля чрез VBE скрипт (slmgr.vbe) от отдалечен сървър, избягва C++ вместо VBScript, но запазва същата функционалност като първата.
„Това е безфайлова атака – скриптът DownEx се изпълнява в паметта и никога не докосва диска“, заяви Bitdefender. „Тази атака подчертава сложността на съвременните кибератаки. Киберпрестъпниците намират нови методи за повишаване на надеждността на своите атаки“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.