Las organizaciones gubernamentales en Asia Central son el objetivo de una sofisticada campaña de espionaje que aprovecha una cepa de malware previamente no documentada denominada AbajoEx.
Bitdefender, en un informe compartido con The Hacker News, dijo que la actividad permanece activa, con evidencia que probablemente apunta a la participación de actores de amenazas con sede en Rusia.
La firma rumana de ciberseguridad dijo que detectó el malware por primera vez en un ataque altamente dirigido a instituciones gubernamentales extranjeras en Kazajstán a fines de 2022. Posteriormente, se observó otro ataque en Afganistán.
El uso de un documento de señuelo con temática diplomática y el enfoque de la campaña en la exfiltración de datos sugiere la participación de un grupo patrocinado por el estado, aunque la identidad exacta del equipo de piratería sigue siendo indeterminada en esta etapa.
Se sospecha que el vector de intrusión inicial para la campaña es un correo electrónico de phishing dirigido que contiene una carga útil con una trampa explosiva, que es un ejecutable del cargador que se hace pasar por un archivo de Microsoft Word.
Al abrir el archivo adjunto, se extraen dos archivos, incluido un documento señuelo que se muestra a la víctima mientras se ejecuta en segundo plano una aplicación HTML maliciosa (.HTA) con código VBScript incrustado.
El archivo HTA, por su parte, está diseñado para establecer contacto con un servidor remoto de comando y control (C2) para recuperar una carga útil de la siguiente etapa. Si bien no se desconoce la naturaleza exacta del malware, se dice que es una puerta trasera para establecer la persistencia.
Los ataques también se destacan por emplear una variedad de herramientas personalizadas para llevar a cabo actividades posteriores a la explotación. Esto incluye –
- Dos binarios basados en C/C++ (wnet.exe y utility.exe) para enumerar todos los recursos en una red,
- Una secuencia de comandos de Python (help.py) para establecer un ciclo de comunicación infinito con el servidor C2 y recibir instrucciones para robar archivos con ciertas extensiones, eliminar archivos creados por otro malware y capturar capturas de pantalla, y
- Un malware basado en C++ (diagsvc.exe, también conocido como DownEx) que está diseñado principalmente para filtrar archivos al servidor C2
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
También se han puesto a tierra otras dos variantes de DownEx, la primera de las cuales ejecuta un VBScript intermedio para recopilar y transmitir los archivos en forma de archivo ZIP.
La otra versión, que se descarga a través de un script VBE (slmgr.vbe) desde un servidor remoto, evita C++ para VBScript, pero conserva la misma funcionalidad que la anterior.
“Este es un ataque sin archivos: el script de DownEx se ejecuta en la memoria y nunca toca el disco”, dijo Bitdefender. “Este ataque destaca la sofisticación de un ciberataque moderno. Los ciberdelincuentes están encontrando nuevos métodos para hacer que sus ataques sean más confiables”.