Kémkedési kampányban használt DownEx rosszindulatú program

Új típusú, DownEx nevű kártevőt fedeztek fel román kiberbiztonsági kutatók.

Egy kifinomult kémkampányban használják, amely közép-ázsiai kormányzati szervezeteket céloz meg, és bizonyítékok utalnak az oroszországi fenyegetés szereplőinek részvételére. A támadásokat adathalász e-maileken keresztül hajtják végre, amelyek egy csapdába esett, Microsoft Word-fájlnak álcázott rakományt tartalmaznak.

A melléklet megnyitása után egy csalidokumentum jelenik meg, miközben egy rosszindulatú HTML-alkalmazás fut a háttérben. Ezt a HTA-fájlt arra tervezték, hogy kapcsolatot létesítsen egy távoli parancs- és vezérlőszerverrel, hogy lekérje a következő szintű hasznos adatot, amelyről úgy gondolják, hogy a perzisztencia megteremtésének hátsó ajtója. A támadók egyéni eszközöket is használnak a kizsákmányolás utáni tevékenységekhez, beleértve a C/C++-alapú binárisokat a hálózati erőforrások számbavételére, a Python-szkriptet a fájlok ellopására, más rosszindulatú programok törlésére és a képernyőképek rögzítésére, valamint a DownEx nevű C++-alapú kártevőt. hogy kiszűrje a fájlokat a C2 szerverre.

A DownEx két másik változatát is felfedezték. A kutatók megjegyezték továbbá, hogy ez egy fájl nélküli támadás, ami azt jelenti, hogy a rosszindulatú szkript csak a memóriában létezik, és soha nem jut el az áldozat meghajtóira.

Mi az a fájl nélküli rosszindulatú program, és mi teszi különösen veszélyessé?

A fájl nélküli rosszindulatú programok olyan rosszindulatú szoftverek, amelyek a számítógép memóriájában működnek anélkül, hogy nyomot hagynának a merevlemezen. Ez különösen megnehezíti a hagyományos víruskereső szoftverrel történő észlelést és eltávolítást, mivel nincsenek átvizsgálandó fájlok. Ahelyett, hogy egy fájlra vagy végrehajtható fájlra hagyatkozna, a fájl nélküli rosszindulatú programok gyakran olyan technikákon keresztül jelennek meg, mint a social engineering, a kihasználások vagy a dokumentumokban található rosszindulatú makrók.

A fájl nélküli rosszindulatú programok egyik legfontosabb jellemzője, hogy a rendszeren már meglévő legitim programokat vagy eszközöket használnak, mint például a PowerShell vagy a Windows Management Instrumentation (WMI), rosszindulatú tevékenységeik végrehajtásához. Ezzel a fájl nélküli rosszindulatú programok beleolvadhatnak a legitim rendszertevékenységbe, és elkerülhetik a hagyományos víruskereső szoftverek észlelését.

Egy másik ok, amiért a fájl nélküli rosszindulatú programok különösen veszélyesek, az, hogy gyakran megkerülhetik a végpontvédelmi intézkedéseket, például a tűzfalakat, a behatolásészlelő és -megelőzési rendszereket (IDS/IPS) és más biztonsági eszközöket, amelyek fájlalapú aláírásokra vagy mintaillesztő algoritmusokra támaszkodnak. Ezenkívül, mivel nem ír semmit a lemezre, hosszabb ideig észrevétlen maradhat, és nagyobb az esélye arra, hogy elérje céljait, mielőtt felfedeznék.

A fájl nélküli rosszindulatú programokat gyakran használják célzott támadásokhoz, például pénzintézetek vagy más nagy értékű célpontok elleni támadásokhoz, ahol a cél az érzékeny információkhoz vagy rendszerekhez való hozzáférés. Elterjedtebb támadásokhoz is használható, például ransomware kampányokhoz, ahol a támadók a lehető legtöbb rendszert meg akarják fertőzni.