DownEx-Malware
Laut Infosec-Forschern sind Regierungsorganisationen in Zentralasien in den Fokus einer gezielten und komplexen Spionagekampagne geraten. Bei diesem Vorgang wird eine neue Art von Malware namens DownEx verwendet, die den Experten bisher unbekannt war. Die Angriffe wurden bisher nicht einer bestimmten APT (Advanced Persistent Threat) oder Cyberkriminellengruppe zugeordnet, es gibt jedoch Hinweise auf die Beteiligung von in Russland ansässigen Akteuren.
Der erste gemeldete Vorfall mit der DownEx-Malware ereignete sich in Kasachstan, wo Ende 2022 ein äußerst gezielter Angriff gegen ausländische Regierungsinstitutionen gestartet wurde. Ein weiterer Angriff wurde später in Afghanistan beobachtet. Die Verwendung eines Dokuments mit diplomatischer Thematik, um Opfer anzulocken, und der Fokus der Angreifer auf das Sammeln sensibler Daten lassen stark auf die Beteiligung einer staatlich geförderten Gruppe schließen. Die Identität des Hacker-Teams wurde jedoch noch nicht bestätigt. Die Operation läuft noch, und es könnte zu weiteren Angriffen kommen, warnen die Forscher von Bitdefender, die einen Bericht über die Bedrohung und die damit verbundene Angriffsaktivität veröffentlicht haben.
Die DownEx-Malware-Angriffskette beginnt mit Locknachrichten
Es wird vermutet, dass die Spionagekampagne zunächst über eine Spear-Phishing-E-Mail mit bedrohlicher Nutzlast erfolgte. Bei der genannten Nutzlast handelt es sich um eine ausführbare Loader-Datei, die als Microsoft Word-Dokument getarnt ist. Sobald der Anhang geöffnet wird, werden zwei Dateien extrahiert, eine davon ist ein gefälschtes Dokument, das dem Opfer als Lockvogel gezeigt wird. Gleichzeitig wird im Hintergrund eine schädliche HTML-Anwendungsdatei (.HTA) mit VBScript-Code ausgeführt.
Die HTA-Datei dient dazu, Kontakt mit einem Remote-Command-and-Control-Server (C2, C&C) herzustellen, um die Nutzlast der nächsten Stufe zu erhalten. Die genaue Natur dieses Malware-Tools wurde noch nicht bekannt gegeben, es wird jedoch angenommen, dass es sich um eine Hintertür handelt, deren Aufgabe es ist, auf dem angegriffenen System eine Persistenz herzustellen. Dies deutet darauf hin, dass die Kampagne von einem hochorganisierten und raffinierten Bedrohungsakteur durchgeführt wird, höchstwahrscheinlich einer staatlich geförderten Gruppe, deren Schwerpunkt auf der Datenexfiltration ausländischer Regierungsinstitutionen liegt.
Zusätzliche bedrohliche Tools werden neben der DownEx-Malware bereitgestellt
Es wurden zwei verschiedene Versionen der DownEx-Malware beobachtet. Die erste Variante verwendet ein zwischengeschaltetes VBScript, um Dateien in Form eines ZIP-Archivs zu sammeln und an einen Remote-Server zu senden. Die zweite Variante wird über ein VBE-Skript namens slmgr.vibe heruntergeladen und verwendet VBScript anstelle von C++. Trotz der unterschiedlichen Programmiersprachen behält die zweite Version die gleichen schädlichen Fähigkeiten wie die erste.
Die zweite DownEx-Malware-Variante nutzt eine dateilose Angriffstechnik. Das bedeutet, dass das DownEx-Skript nur im Speicher ausgeführt wird und niemals die Festplatte des infizierten Geräts berührt. Diese Technik unterstreicht die zunehmende Raffinesse moderner Cyberangriffe und zeigt, dass Cyberkriminelle neue Methoden entwickeln, um ihre Angriffe effektiver und schwerer zu erkennen zu machen.
