DownEx се насочва към правителствата в Централна Азия

Правителствени организации в Централна Азия са обект на сложна шпионска кампания, която използва недокументиран досега щам на зловреден софтуер, наречен DownEx.

В доклад, споделен с The Hacker News, Bitdefender твърди, че дейността продължава да е активна, като доказателствата вероятно сочат участието на базирани в Русия групи.

Румънската фирма за киберсигурност заяви, че за първи път е открила злонамерения софтуер в силно насочена атака  към чуждестранни правителствени институции в Казахстан в края на 2022 г. Впоследствие е наблюдавана друга атака в Афганистан.

Използването на примамлив документ на дипломатическа тематика и фокусът на кампанията върху ексфилтрацията на данни предполагат участието на спонсорирана от държавата група, въпреки че на този етап точната самоличност на хакерската организация остава неопределена.

Предполага се, че първоначалният вектор за проникване в кампанията е spear-phishing имейл, съдържащ полезен товар, който представлява зареждащ изпълним файл, маскиран като файл на Microsoft Word.

Отварянето на прикачения файл води до извличането на два файла, включително примамлив документ, който се показва на жертвата, докато във фонов режим работи злонамерено HTML приложение (.HTA) с вграден VBScript код.

Файлът HTA от своя страна е предназначен да установи контакт с отдалечен сървър за управление и контрол (C2), за да извлече полезен товар на следващия етап. Въпреки че не е известно точното естество на зловредния софтуер, се твърди, че той представлява задна врата за установяване на устойчивост.

Атаките се отличават и с това, че използват различни персонализирани инструменти за извършване на дейности след експлоатирането. Това включва.

  • Два базирани на C/C++ двоични файла (wnet.exe и utility.exe) за изброяване на всички ресурси в мрежата,
  • скрипт на Python (help.py) за създаване на безкраен комуникационен цикъл със сървъра C2 и получаване на инструкции за кражба на файлове с определени разширения, изтриване на файлове, създадени от друг зловреден софтуер, и заснемане на екранни снимки, и
  • базиран на C++ зловреден софтуер (diagsvc.exe, известен още като DownEx), който е предназначен главно за екфилтриране на файлове към C2 сървъра.

Два други варианта на DownEx също бяха заземени, като първият от тях изпълнява междинен VBScript, за да събере и предаде файловете под формата на архив ZIP.

Другата версия, която се изтегля чрез VBE скрипт (slmgr.vbe) от отдалечен сървър, избягва C++ вместо VBScript, но запазва същата функционалност като първата.

„Това е безфайлова атака – скриптът DownEx се изпълнява в паметта и никога не докосва диска“, заяви Bitdefender. „Тази атака подчертава сложността на съвременните кибератаки. Киберпрестъпниците намират нови методи за повишаване на надеждността на своите атаки“.

 

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!