Експерти Bitdefender Labs виявили нове сімейство шкідливих програм. Складна та дуже цілеспрямована атака під назвою DownEx наразі все ще спрямована на державні установи в Центральній Азії. Жертвами можуть стати і компанії, які працюють у цих регіонах.
Основна мета зловмисників – шпигунство та викрадання інформації. Шкідливий код безфайлової атаки здебільшого виконується лише в основній пам’яті, тому його важко виявити. Проаналізувавши сценарій Python і сконструювавши зв’язок із сервером командування та управління (C2C), експерти змогли визначити чотири основні функції шкідливого програмного забезпечення: воно дозволяє хакерам спеціально сканувати файли, викрадати їх, видаляти. або зробити скріншоти вмісту екрана уражених систем.
Шпигунство: У пошуках конфіденційних даних
Авторів кампанії особливо цікавлять конфіденційні дані, наприклад, з розширенням .pgp (Pretty Good Privacy) або .pem (Privacy Enhanced Mail). Хакери також шукають фінансові дані, такі як файли журналів QuickBooks (розширення .tlg).
Домен та IP-адреси, пов’язані з кампанією, нові. Шкідливий код не має схожості з раніше відомим шкідливим програмним забезпеченням. Bitdefender Labs першими помітили нову кампанію зловмисного ПЗ і назвали її DownEx.
Цілеспрямовані атаки на компанії
Хакери спеціально націлені на обраних жертв. Початковий вектор атаки невідомий, але, ймовірно, на початку кожної атаки є фішинг і соціальна інженерія. Для відображення корисного навантаження кіберзлочинці використовують класичний і простий значок із файлом .docx, який маскує виконуваний файл як зловмисне корисне навантаження. Друге корисне навантаження – це файл .hta (але без цього розширення файлу) із вбудованим шкідливим кодом VBScript, який з’єднує скомпрометовану систему з сервером C2C. Файл .hta (програма HTML) містить код VBScript, HTML, CSS або JavaScript, який працює як окрема програма в середовищі операційної системи Windows. Подальший зв’язок між сервером і системою-жертвою, яку важко виявити, відбувається через бекдор help.py на основі Python.
російське походження? – Державне походження!
Використані показники та прийоми можуть вказувати на російське походження акторів. Однак остаточних тверджень з цього приводу зробити не можна. Метадані документа, який використовується з даною особою дипломата, можуть бути ознакою.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Так само шкідлива програма використовує зламану версію Microsoft 2016, яка в основному поширюється в російськомовних країнах («SPecialisST RePack» або «Russian RePack від SPecialiST»). Бекдор також написаний двома мовами. Ця практика відома з російської групи APT28 та її бекдору Zebrocy. Однак цих показань недостатньо. Державна підґрунтя цілеспрямованої атаки очевидна. Метадані документа Word вказують на фактичного дипломата як на ймовірного відправника.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de