Κακόβουλο λογισμικό DownEx που χρησιμοποιείται σε εκστρατεία κατασκοπείας

Ένας νέος τύπος κακόβουλου λογισμικού που ονομάζεται DownEx ανακαλύφθηκε από Ρουμάνους ερευνητές στον τομέα της κυβερνοασφάλειας.

Χρησιμοποιείται σε μια εξελιγμένη εκστρατεία κατασκοπείας που στοχεύει κυβερνητικούς οργανισμούς στην Κεντρική Ασία, με στοιχεία που υποδηλώνουν εμπλοκή παραγόντων απειλών με έδρα τη Ρωσία. Οι επιθέσεις πραγματοποιούνται μέσω emails spear-phishing που περιέχουν ένα ωφέλιμο φορτίο παγιδευμένο με εκρήξεις, το οποίο είναι μεταμφιεσμένο σε αρχείο Microsoft Word.

Μόλις ανοίξει το συνημμένο, εμφανίζεται ένα έγγραφο παραπλάνησης ενώ μια κακόβουλη εφαρμογή HTML εκτελείται στο παρασκήνιο. Αυτό το αρχείο HTA έχει σχεδιαστεί για να δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου για την ανάκτηση ενός ωφέλιμου φορτίου επόμενου σταδίου, το οποίο πιστεύεται ότι είναι μια κερκόπορτα για τη δημιουργία επιμονής. Οι εισβολείς χρησιμοποιούν επίσης προσαρμοσμένα εργαλεία για δραστηριότητες μετά την εκμετάλλευση, όπως δυαδικά αρχεία που βασίζονται σε C/C++ για την απαρίθμηση πόρων δικτύου, ένα σενάριο Python για λήψη οδηγιών για κλοπή αρχείων, διαγραφή άλλου κακόβουλου λογισμικού και λήψη στιγμιότυπων οθόνης και ένα κακόβουλο λογισμικό που βασίζεται σε C++ που ονομάζεται DownEx για την εξαγωγή αρχείων στον διακομιστή C2.

Ανακαλύφθηκαν επίσης δύο άλλες παραλλαγές του DownEx. Οι ερευνητές σημείωσαν περαιτέρω ότι πρόκειται για επίθεση χωρίς αρχείο, πράγμα που σημαίνει ότι το κακόβουλο σενάριο υπάρχει μόνο στη μνήμη και δεν το κάνει ποτέ στις μονάδες δίσκου του θύματος.

Τι είναι το κακόβουλο λογισμικό χωρίς αρχεία και τι το καθιστά ιδιαίτερα επικίνδυνο;

Το κακόβουλο λογισμικό χωρίς αρχεία είναι ένας τύπος κακόβουλου λογισμικού που λειτουργεί στη μνήμη ενός υπολογιστή, χωρίς να αφήνει ίχνη στον σκληρό δίσκο. Αυτό καθιστά ιδιαίτερα δύσκολο τον εντοπισμό και την αφαίρεση χρησιμοποιώντας παραδοσιακό λογισμικό προστασίας από ιούς, επειδή δεν υπάρχουν αρχεία για σάρωση. Αντί να βασίζεται σε ένα αρχείο ή ένα εκτελέσιμο, το κακόβουλο λογισμικό χωρίς αρχείο συχνά παραδίδεται μέσω τεχνικών όπως η κοινωνική μηχανική, οι εκμεταλλεύσεις ή οι κακόβουλες μακροεντολές σε έγγραφα.

Ένα από τα βασικά χαρακτηριστικά του κακόβουλου λογισμικού χωρίς αρχεία είναι ότι χρησιμοποιεί νόμιμα προγράμματα ή εργαλεία που υπάρχουν ήδη στο σύστημα, όπως το PowerShell ή το Windows Management Instrumentation (WMI), για να πραγματοποιήσει τις κακόβουλες δραστηριότητές του. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό χωρίς αρχεία μπορεί να αναμειχθεί με τη νόμιμη δραστηριότητα του συστήματος και να αποφύγει τον εντοπισμό από το παραδοσιακό λογισμικό προστασίας από ιούς.

Ένας άλλος λόγος για τον οποίο το κακόβουλο λογισμικό χωρίς αρχείο είναι ιδιαίτερα επικίνδυνο είναι ότι συχνά μπορεί να παρακάμψει μέτρα προστασίας τελικού σημείου, όπως τείχη προστασίας, συστήματα ανίχνευσης και πρόληψης εισβολής (IDS/IPS) και άλλα εργαλεία ασφαλείας που βασίζονται σε υπογραφές που βασίζονται σε αρχεία ή αλγόριθμους αντιστοίχισης μοτίβων. Επιπλέον, επειδή δεν γράφει τίποτα στο δίσκο, μπορεί να παραμείνει απαρατήρητο για μεγαλύτερα χρονικά διαστήματα και έχει περισσότερες πιθανότητες να επιτύχει τους στόχους του πριν ανακαλυφθεί.

Το κακόβουλο λογισμικό χωρίς αρχεία χρησιμοποιείται συχνά σε στοχευμένες επιθέσεις, όπως αυτές κατά χρηματοπιστωτικών ιδρυμάτων ή άλλων στόχων υψηλής αξίας, όπου ο στόχος είναι να αποκτηθεί πρόσβαση σε ευαίσθητες πληροφορίες ή συστήματα. Μπορεί επίσης να χρησιμοποιηθεί για πιο εκτεταμένες επιθέσεις, όπως εκστρατείες ransomware, όπου οι εισβολείς θέλουν να μολύνουν όσο το δυνατόν περισσότερα συστήματα.