Organizações governamentais na Ásia Central são alvo de uma sofisticada campanha de espionagem que utiliza uma cepa de malware previamente não documentada chamada DownEx.
A Bitdefender, em um relatório compartilhado com o The Hacker News, afirmou que a atividade continua ativa e que as evidências apontam para a participação de atores ameaçadores com base na Rússia.
A empresa romena de cibersegurança disse que detectou o malware pela primeira vez em um ataque altamente direcionado a instituições governamentais estrangeiras no Cazaquistão no final de 2022.
Posteriormente, outro ataque foi observado no Afeganistão.
O uso de um documento isca temático de diplomata e o foco da campanha na exfiltração de dados sugerem a participação de um grupo patrocinado pelo estado, embora a identidade exata do grupo de hackers permaneça indeterminada neste estágio.
O vetor inicial de invasão da campanha é suspeito de ser um e-mail de spear-phishing com um payload armadilhado, que é um executável de carregador que se disfarça como um arquivo do Microsoft Word.
A abertura do anexo leva à extração de dois arquivos, incluindo um documento de isca que é exibido para a vítima enquanto um aplicativo HTML malicioso (.HTA) com código VBScript incorporado é executado em segundo plano.
O arquivo HTA, por sua vez, é projetado para estabelecer contato com um servidor de comando e controle (C2) remoto para recuperar um payload de próxima etapa.
Embora a natureza exata do malware seja desconhecida, ele é dito ser uma porta dos fundos para estabelecer persistência.
Os ataques também são notáveis por empregar uma variedade de ferramentas personalizadas para realizar atividades pós-exploração.
Isso inclui:
- Dois binários baseados em C/C++ (wnet.exe e utility.exe) para enumerar todos os recursos em uma rede;
- Um script Python (help.py) para estabelecer um loop de comunicação infinito com o servidor C2 e receber instruções para roubar arquivos com certas extensões, excluir arquivos criados por outro malware e capturar capturas de tela;
- Um malware baseado em C++ (diagsvc.exe, também conhecido como DownEx) que é principalmente projetado para exfiltrar arquivos para o servidor C2.
Duas outras variantes do DownEx também foram descobertas, a primeira das quais executa um VBScript intermediário para coletar e transmitir os arquivos na forma de um arquivo ZIP.
A outra versão, que é baixada por meio de um script VBE (slmgr.vbe) de um servidor remoto, dispensa o C++ pelo VBScript, mas mantém a mesma funcionalidade da primeira.
"Este é um ataque sem arquivos - o script DownEx é executado na memória e nunca toca no disco", disse a Bitdefender.
"Este ataque destaca a sofisticação de um ciberataque moderno.
Os criminosos cibernéticos estão encontrando novos métodos para tornar seus ataques mais confiáveis".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...