Вредоносное ПО DownEx, используемое в шпионской кампании

Румынские исследователи кибербезопасности обнаружили новый тип вредоносного ПО под названием DownEx.

Он используется в изощренной шпионской кампании, нацеленной на правительственные организации в Центральной Азии, с доказательствами, свидетельствующими о причастности базирующихся в России субъектов угрозы. Атаки осуществляются с помощью адресных фишинговых писем, содержащих заминированную полезную нагрузку, замаскированную под файл Microsoft Word.

После открытия вложения отображается документ-приманка, в то время как вредоносное HTML-приложение работает в фоновом режиме. Этот файл HTA предназначен для установления связи с удаленным сервером управления и контроля для получения полезной нагрузки следующего этапа, которая, как считается, является лазейкой для установления постоянства. Злоумышленники также используют специальные инструменты для действий после эксплуатации, в том числе двоичные файлы на основе C/C++ для перечисления сетевых ресурсов, сценарий Python для получения инструкций по краже файлов, удалению других вредоносных программ и захвату снимков экрана, а также вредоносное ПО на основе C++ под названием DownEx. для эксфильтрации файлов на сервер C2.

Также были обнаружены два других варианта DownEx. Исследователи также отметили, что это атака без файлов, что означает, что вредоносный скрипт существует только в памяти и никогда не попадает на диски жертвы.

Что такое бесфайловое вредоносное ПО и что делает его особенно опасным?

Бесфайловое вредоносное ПО — это тип вредоносного программного обеспечения, которое действует в памяти компьютера, не оставляя следов на жестком диске. Это особенно затрудняет обнаружение и удаление с помощью традиционного антивирусного программного обеспечения, поскольку нет файлов для сканирования. Вместо того, чтобы полагаться на файл или исполняемый файл, бесфайловое вредоносное ПО часто доставляется с помощью таких методов, как социальная инженерия, эксплойты или вредоносные макросы в документах.

Одной из ключевых характеристик бесфайлового вредоносного ПО является то, что оно использует законные программы или инструменты, уже присутствующие в системе, такие как PowerShell или инструментарий управления Windows (WMI), для выполнения своих вредоносных действий. Таким образом, бесфайловое вредоносное ПО может смешиваться с законной активностью системы и избегать обнаружения традиционным антивирусным программным обеспечением.

Еще одна причина, по которой безфайловые вредоносные программы особенно опасны, заключается в том, что они часто могут обходить меры защиты конечных точек, такие как брандмауэры, системы обнаружения и предотвращения вторжений (IDS/IPS) и другие инструменты безопасности, которые полагаются на сигнатуры на основе файлов или алгоритмы сопоставления шаблонов. Кроме того, поскольку он ничего не записывает на диск, он может оставаться незамеченным в течение более длительного периода времени и имеет больше шансов достичь своих целей до того, как будет обнаружен.

Бесфайловое вредоносное ПО часто используется в целевых атаках, например, против финансовых учреждений или других важных целей, целью которых является получение доступа к конфиденциальной информации или системам. Его также можно использовать для более распространенных атак, таких как кампании программ-вымогателей, когда злоумышленники стремятся заразить как можно больше систем.