Orta Asya’daki hükümet kuruluşları, daha önce belgelenmemiş bir kötü amaçlı yazılım türünden yararlanan gelişmiş bir casusluk kampanyasının hedefi. DownEx.
Bitdefender, bir rapor The Hacker News ile paylaşılan raporda, faaliyetin aktif olmaya devam ettiği ve kanıtlar muhtemelen Rusya merkezli tehdit aktörlerinin müdahalesine işaret ettiği belirtildi.
Rumen siber güvenlik firması, kötü amaçlı yazılımı ilk olarak 2022’nin sonlarında Kazakistan’daki yabancı devlet kurumlarını hedef alan yüksek düzeyde hedefli bir saldırıda tespit ettiğini söyledi. Ardından, Afganistan’da başka bir saldırı gözlemlendi.
Diplomat temalı bir yem belgesinin kullanılması ve kampanyanın veri hırsızlığına odaklanması, bilgisayar korsanlığı ekibinin kesin kimliği bu aşamada belirsiz kalsa da, devlet destekli bir grubun işin içinde olduğunu gösteriyor.
Kampanya için ilk izinsiz giriş vektörünün, Microsoft Word dosyası gibi görünen yürütülebilir bir yükleyici olan bubi tuzaklı bir yük taşıyan bir mızraklı kimlik avı e-postası olduğundan şüpheleniliyor.
Eki açmak, arka planda katıştırılmış VBScript kodu içeren kötü amaçlı bir HTML uygulaması (.HTA) çalışırken kurbana görüntülenen bir sahte belge de dahil olmak üzere iki dosyanın çıkarılmasına yol açar.
HTA dosyası, kendi adına, bir sonraki aşama yükünü almak için uzak bir komut ve kontrol (C2) sunucusuyla iletişim kurmak üzere tasarlanmıştır. Kötü amaçlı yazılımın doğası tam olarak bilinmemekle birlikte, kalıcılık sağlamak için bir arka kapı olduğu söyleniyor.
Saldırılar ayrıca, istismar sonrası faaliyetleri yürütmek için çeşitli özel araçlar kullanmakla da dikkat çekiyor. Bu içerir –
- Bir ağdaki tüm kaynakları numaralandırmak için iki C/C++ tabanlı ikili dosya (wnet.exe ve yardımcı program.exe),
- C2 sunucusuyla sonsuz bir iletişim döngüsü kurmak ve belirli uzantılara sahip dosyaları çalmak, diğer kötü amaçlı yazılımlar tarafından oluşturulan dosyaları silmek ve ekran görüntüleri yakalamak için talimatlar almak için bir Python betiği (help.py) ve
- Esas olarak dosyaları C2 sunucusuna sızdırmak için tasarlanmış C++ tabanlı bir kötü amaçlı yazılım (diagsvc.exe, diğer adıyla DownEx)
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
DownEx’in diğer iki çeşidi de topraklanmıştır; bunlardan ilki, dosyaları bir ZIP arşivi biçiminde toplamak ve iletmek için bir ara VBScript çalıştırır.
Uzak bir sunucudan bir VBE komut dosyası (slmgr.vbe) aracılığıyla indirilen diğer sürüm, VBScript için C++’tan kaçınır, ancak öncekiyle aynı işlevselliği korur.
Bitdefender, “Bu dosyasız bir saldırıdır – DownEx betiği bellekte yürütülür ve diske asla dokunmaz” dedi. “Bu saldırı, modern bir siber saldırının karmaşıklığını vurguluyor. Siber suçlular, saldırılarını daha güvenilir hale getirmek için yeni yöntemler buluyor.”
