کمپین پیچیده بدافزار DownEx که دولت های آسیای مرکزی را هدف قرار می دهد

۱۰ مه  بدافزار / حمله سایبری Ravie Lakshmanan

سازمان‌های دولتی در آسیای مرکزی هدف یک کمپین جاسوسی پیچیده هستند که از یک نوع بدافزار غیرمستند قبلی به نام DownEx استفاده می‌کند.

Bitdefender در گزارشی که با The Hacker News به اشتراک گذاشته است، بیان کرد که این فعالیت همچنان فعال است و شواهدی که احتمالاً حاکی از دخالت عوامل تهدید مستقر در روسیه است، وجود دارد.

شرکت امنیت سایبری رومانیایی بیان کرد که ابتدا این بدافزار را در یک حمله بسیار هدفمند با هدف نهادهای دولتی خارجی در قزاقستان در اواخر سال ۲۰۲۲ شناسایی کرد. متعاقباً، حمله دیگری در افغانستان مشاهده شد.

استفاده از یک سند فریب با مضمون دیپلمات و تمرکز کمپین بر استخراج داده ها نشان دهنده دخالت یک گروه تحت حمایت دولت است، اگرچه هویت دقیق ابزار هک در این مرحله نامشخص است.

بردار نفوذ اولیه برای کمپین گمان می‌رود که یک ایمیل فیشینگ نیزه‌ای باشد که حاوی یک محموله انفجاری است، که یک لودر اجرایی است که به عنوان یک فایل مایکروسافت ورد ظاهر می‌شود.

باز کردن پیوست منجر به استخراج دو فایل می شود، از جمله یک سند فریبنده که به قربانی نمایش داده می شود در حالی که یک برنامه مخرب HTML (.HTA) با کد VBScript جاسازی شده در پس زمینه اجرا می شود.

بیشتر بخوانید

توسعه اپلیکیشن Flutter – یک کلون توییتر ایجاد کنید

دیگر اخبار

Huawei Enjoy 60X با باتری عظیم ۷۰۰۰ میلی آمپر ساعتی، برچسب Band 8 همراه

فایل HTA به نوبه خود برای برقراری ارتباط با یک سرور فرمان و کنترل از راه دور (C2) برای بازیابی بار مرحله بعدی طراحی شده است. در حالی که ماهیت دقیق این بدافزار ناشناخته نیست، گفته می‌شود که در پشتی برای ایجاد پایداری است.

این حملات همچنین به دلیل استفاده از انواع ابزارهای سفارشی برای انجام فعالیت های پس از بهره برداری قابل توجه هستند. این شامل -

دو باینری مبتنی بر C/C++ (wnet.exe و utility.exe) برای شمارش تمام منابع یک شبکه،

یک اسکریپت پایتون (help.py) برای ایجاد یک حلقه ارتباطی بی‌نهایت با سرور C2 و دریافت دستورالعمل‌هایی برای سرقت فایل‌ها با پسوندهای خاص، حذف فایل‌های ایجاد شده توسط سایر بدافزارها، و گرفتن اسکرین شات، و

یک بدافزار مبتنی بر C++ (diagsvc.exe با نام مستعار DownEx) که عمدتاً برای استخراج فایل‌ها به سرور C2 طراحی شده است.

دو نوع دیگر از DownEx نیز ارت شده اند، که اولی یک VBScript میانی را برای برداشت و انتقال فایل ها در قالب یک آرشیو ZIP اجرا می کند.

نسخه دیگر، که از طریق یک اسکریپت VBE (slmgr.vbe) از یک سرور راه دور دانلود می شود، از C++ برای VBScript اجتناب می کند، اما عملکرد مشابه قبلی را حفظ می کند.

Bitdefender گفت: "این یک حمله بدون فایل است - اسکریپت DownEx در حافظه اجرا می شود و هرگز دیسک را لمس نمی کند." "این حمله پیچیدگی یک حمله سایبری مدرن را برجسته می کند. مجرمان سایبری در حال یافتن روش های جدیدی برای قابل اطمینان تر کردن حملات خود هستند."

این مقاله جالب بود؟ ما را در توییتر و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو