Organizações governamentais na Ásia Central são alvo de uma sofisticada campanha de espionagem que utiliza uma cepa de malware previamente não documentada chamada DownEx.
A Bitdefender, em um relatório compartilhado com o The Hacker News, afirmou que a atividade continua ativa e que as evidências apontam para a participação de atores ameaçadores com base na Rússia.
A empresa romena de cibersegurança disse que detectou o malware pela primeira vez em um ataque altamente direcionado a instituições governamentais estrangeiras no Cazaquistão no final de 2022.
Posteriormente, outro ataque foi observado no Afeganistão.
O uso de um documento isca temático de diplomata e o foco da campanha na exfiltração de dados sugerem a participação de um grupo patrocinado pelo estado, embora a identidade exata do grupo de hackers permaneça indeterminada neste estágio.
O vetor inicial de invasão da campanha é suspeito de ser um e-mail de spear-phishing com um payload armadilhado, que é um executável de carregador que se disfarça como um arquivo do Microsoft Word.
A abertura do anexo leva à extração de dois arquivos, incluindo um documento de isca que é exibido para a vítima enquanto um aplicativo HTML malicioso (.HTA) com código VBScript incorporado é executado em segundo plano.
O arquivo HTA, por sua vez, é projetado para estabelecer contato com um servidor de comando e controle (C2) remoto para recuperar um payload de próxima etapa.
Embora a natureza exata do malware seja desconhecida, ele é dito ser uma porta dos fundos para estabelecer persistência.
Os ataques também são notáveis por empregar uma variedade de ferramentas personalizadas para realizar atividades pós-exploração.
Isso inclui:
- Dois binários baseados em C/C++ (wnet.exe e utility.exe) para enumerar todos os recursos em uma rede;
- Um script Python (help.py) para estabelecer um loop de comunicação infinito com o servidor C2 e receber instruções para roubar arquivos com certas extensões, excluir arquivos criados por outro malware e capturar capturas de tela;
- Um malware baseado em C++ (diagsvc.exe, também conhecido como DownEx) que é principalmente projetado para exfiltrar arquivos para o servidor C2.
Duas outras variantes do DownEx também foram descobertas, a primeira das quais executa um VBScript intermediário para coletar e transmitir os arquivos na forma de um arquivo ZIP.
A outra versão, que é baixada por meio de um script VBE (slmgr.vbe) de um servidor remoto, dispensa o C++ pelo VBScript, mas mantém a mesma funcionalidade da primeira.
"Este é um ataque sem arquivos - o script DownEx é executado na memória e nunca toca no disco", disse a Bitdefender.
"Este ataque destaca a sofisticação de um ciberataque moderno.
Os criminosos cibernéticos estão encontrando novos métodos para tornar seus ataques mais confiáveis".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...