Gli esperti di Bitdefender Labs hanno scoperto una nuova famiglia di malware. L'attacco sofisticato e molto mirato chiamato DownEx sta ancora prendendo di mira le agenzie governative dell'Asia centrale. Anche le aziende che operano in queste regioni possono diventare vittime.
L'obiettivo principale degli aggressori è lo spionaggio e l'esfiltrazione di informazioni. Il codice dannoso dell'attacco senza file viene in gran parte eseguito solo nella memoria principale ed è quindi difficile da rilevare. Analizzando lo script Python e decodificando la comunicazione con il server di comando e controllo (C2C), gli esperti sono stati in grado di identificare quattro funzioni principali del malware: consente agli hacker di scansionare specificamente i file, esfiltrarli, eliminare o acquisire screenshot del contenuto dello schermo dei sistemi interessati.
Spionaggio: alla ricerca di dati riservati
Gli autori della campagna sono particolarmente interessati ai dati riservati, come quelli con estensione .pgp (Pretty Good Privacy) o .pem (Privacy Enhanced Mail). Gli hacker cercano anche dati finanziari, come i file di registro di QuickBooks (estensione .tlg).
Il dominio e gli indirizzi IP associati alla campagna sono nuovi. Il codice dannoso non mostra somiglianze con malware precedentemente noti. Bitdefender Labs è stato il primo a individuare la nuova campagna malware e l'ha chiamata DownEx.
Attacchi mirati alle aziende
Gli hacker prendono di mira specificamente vittime selezionate. Il vettore di attacco originale non è chiaro, ma lo spear phishing e l'ingegneria sociale sono probabilmente all'inizio di ogni attacco. Per visualizzare il payload, i criminali informatici utilizzano un'icona classica e semplice con un file .docx che maschera un file eseguibile come un payload dannoso. Il secondo payload è un file .hta (ma senza questa estensione di file) con codice VBScript dannoso incorporato che collega il sistema compromesso al server C2C. Un file .hta (applicazione HTML) contiene codice VBScript, HTML, CSS o JavaScript che viene eseguito come applicazione autonoma negli ambienti del sistema operativo Windows. La successiva comunicazione tra il server e il sistema vittima, difficile da rilevare, avviene tramite la backdoor help.py basata su Python.
Origine russa? – Stato di fondo!
Gli indicatori e le tecniche utilizzate possono indicare un background russo degli attori. Tuttavia, non è possibile rilasciare dichiarazioni definitive in merito. I metadati del documento utilizzato con l'identità data di un diplomatico potrebbero essere indicativi.
Hai un momento?
Dedica qualche minuto al nostro sondaggio tra gli utenti del 2023 e contribuisci a migliorare B2B-CYBER-SECURITY.de!Devi solo rispondere a 10 domande e hai la possibilità immediata di vincere premi da Kaspersky, ESET e Bitdefender.
Qui vai direttamente al sondaggio
Allo stesso modo, il malware utilizza una versione crackata di Microsoft 2016, distribuita principalmente nei paesi di lingua russa ("SPecialisST RePack" o "Russian RePack by SPecialiST"). Anche la backdoor è scritta in due lingue. Questa pratica è nota dal gruppo APT28 con sede in Russia e dalla sua backdoor Zebrocy. Tuttavia, queste indicazioni non sono sufficienti. Il background statale dell'attacco altamente mirato è ovvio. I metadati del documento Word indicano un vero diplomatico come presunto mittente.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de