DownEx се насочва към правителствата в Централна Азия

Правителствени организации в Централна Азия са обект на сложна шпионска кампания, която използва недокументиран досега щам на зловреден софтуер, наречен DownEx.

В доклад, споделен с The Hacker News, Bitdefender твърди, че дейността продължава да е активна, като доказателствата вероятно сочат участието на базирани в Русия групи.

Румънската фирма за киберсигурност заяви, че за първи път е открила злонамерения софтуер в силно насочена атака  към чуждестранни правителствени институции в Казахстан в края на 2022 г. Впоследствие е наблюдавана друга атака в Афганистан.

Използването на примамлив документ на дипломатическа тематика и фокусът на кампанията върху ексфилтрацията на данни предполагат участието на спонсорирана от държавата група, въпреки че на този етап точната самоличност на хакерската организация остава неопределена.

Предполага се, че първоначалният вектор за проникване в кампанията е spear-phishing имейл, съдържащ полезен товар, който представлява зареждащ изпълним файл, маскиран като файл на Microsoft Word.

Отварянето на прикачения файл води до извличането на два файла, включително примамлив документ, който се показва на жертвата, докато във фонов режим работи злонамерено HTML приложение (.HTA) с вграден VBScript код.

Файлът HTA от своя страна е предназначен да установи контакт с отдалечен сървър за управление и контрол (C2), за да извлече полезен товар на следващия етап. Въпреки че не е известно точното естество на зловредния софтуер, се твърди, че той представлява задна врата за установяване на устойчивост.

Атаките се отличават и с това, че използват различни персонализирани инструменти за извършване на дейности след експлоатирането. Това включва.

  • Два базирани на C/C++ двоични файла (wnet.exe и utility.exe) за изброяване на всички ресурси в мрежата,
  • скрипт на Python (help.py) за създаване на безкраен комуникационен цикъл със сървъра C2 и получаване на инструкции за кражба на файлове с определени разширения, изтриване на файлове, създадени от друг зловреден софтуер, и заснемане на екранни снимки, и
  • базиран на C++ зловреден софтуер (diagsvc.exe, известен още като DownEx), който е предназначен главно за екфилтриране на файлове към C2 сървъра.

Два други варианта на DownEx също бяха заземени, като първият от тях изпълнява междинен VBScript, за да събере и предаде файловете под формата на архив ZIP.

Другата версия, която се изтегля чрез VBE скрипт (slmgr.vbe) от отдалечен сървър, избягва C++ вместо VBScript, но запазва същата функционалност като първата.

„Това е безфайлова атака – скриптът DownEx се изпълнява в паметта и никога не докосва диска“, заяви Bitdefender. „Тази атака подчертава сложността на съвременните кибератаки. Киберпрестъпниците намират нови методи за повишаване на надеждността на своите атаки“.

 

Източник: The Hacker News

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!