سازمانهای دولتی در آسیای مرکزی هدف یک حمله جاسوسی پیچیده قرار گرفتهاند که از یک نوع بدافزار ناشناخته بهنام DownEx استفاده میکند. دامنه و آدرسهای IP مرتبط با این بدافزار، در حملات قبلی استفاده نشدهاند و بدافزار هیچ تشابه کدی با نرمافزارهای مخرب قبلی ندارد. این حمله نشان میدهد، حملات سایبری جدید پیچیدهتر شدهاند و مجرمان سایبری بهدنبال روشهای قابل اطمینانتری برای حملات خود هستند. برای حمله از یک سند جعلی با تمرکز حمله بر استخراج داده از نسخه کرک شده Microsoft Office 2016 استفاده شده است. کدنویسهایbackdoor که DownEx لقب گرفتهاند آن را به دو زبان پایتون و C++ نوشتهاند. این حملات از انواع ابزارهای سفارشی برای انجام فعالیتهای پس از بهرهبرداری استفاده میکنند که شامل دو ابزار مبتنی برC/C++(wnet.exe و utility.exe) برای شمارش منابع یک شبکه، یک اسکریپت پایتون(help.py) برای ایجاد یک حلقه ارتباطی بینهایت با سرور C2 و دریافت دستورالعملهایی که برای سرقت فایلهایی با پسوندهای خاص، حذف فایلهای ایجاد شده توسط سایر بدافزارها و یک بدافزار مبتنی بر C++( diagscv.exe) با نام مستعار DownEx که بهصورت عمده برای استخراج فایلها به سرور C2 طراحی شده است.
بر اساس بردار حمله اولیه، به احتمال زیاد عاملان تهدید از تکنیکهای مهندسی اجتماعی برای ارسال ایمیل فیشینگ با یک بار مخرب استفاده کردهاند که با استفاده از یک فایل آیکون مرتبط با فایلهای .docs، یک لودر اجرایی را در قالب یک فایل MS Word منتقل میکند.
هنگامی که قربانی فایل پیوست را باز می¬کند، دو نوع فایل دانلود میشود. یک سند جعلی به قربانی نمایش داده میشود و یک فایل مخرب HTML با کد پیوست شده در پس زمینه اجرا میشود که برای ارتباط با سرورهای فرمان و کنترل از راه دور(CA) برای بازیابی بار مرحله بعدی طراحی شده است. پس از اجرا، DownEx بصورت جانبی در درایوهای محلی و شبکه منتقل میشود تا فایلها را از اسناد Excel، Word، PowerPoint، تصاویر، فایلهای فشرده و PDF استخراج کند.
حمله انجام شده بدون فایل است، به این صورت که اسکریپت DownEx در حافظه اجرا میشود و وارد دیسک نمیشود. محققان برای جلوگیری از چنین حملاتی به سازمانها توصیه میکنند که روی اجرای ترکیبی از فناوریهای امنیت سایبری تمرکز کنند تا وضعیت امنیتی خود را بهبود بخشند.
منابع خبر
[1] https://thehackernews.com/2023/05/sophisticated-downex-malware-campaign.html
[2] https://www.arnnet.com.au/article/707123/new-downex-malware-campaign-targets-central-asia
[3] https://www.csoonline.com/article/3696429/new-downex-malware-campaign-targets-central-asia.html
- 92