Σύμφωνα με έκθεση της Bitdefender, μια προηγουμένως μη τεκμηριωμένη εκστρατεία κακόβουλου λογισμικού, με την ονομασία “DownEx”, έχει παρατηρηθεί ότι στοχεύει ενεργά κυβερνητικά ιδρύματα στην Κεντρική Ασία για κυβερνοκατασκοπεία.

Η πρώτη περίπτωση του κακόβουλου λογισμικού εντοπίστηκε το 2022 σε μια εξαιρετικά στοχευμένη επίθεση με στόχο τη διαρροή δεδομένων από ξένα κυβερνητικά ιδρύματα στο Καζακστάν. Οι ερευνητές παρατήρησαν μια άλλη επίθεση στο Αφγανιστάν.

«Το domain και οι διευθύνσεις IP που εμπλέκονται δεν εμφανίζονται σε προηγούμενα τεκμηριωμένα περιστατικά και το κακόβουλο λογισμικό δεν έχει ομοιότητες κώδικα με παλαιότερα γνωστό κακόβουλο λογισμικό», ανέφερε η Bitdefender στην έκθεσή της.

Οι ερευνητές λένε ότι η επίθεση αναδεικνύει την πολυπλοκότητα μιας σύγχρονης κυβερνοεπίθεσης, σημειώνοντας ότι “οι εγκληματίες του κυβερνοχώρου βρίσκουν νέες μεθόδους για να κάνουν τις επιθέσεις τους πιο αξιόπιστες”, σύμφωνα με την Bitdefender.

Με βάση τους συγκεκριμένους στόχους των επιθέσεων, τα metadata των εγγράφων που μιμούνται έναν πραγματικό διπλωμάτη και την πρωταρχική εστίαση στην εκροή δεδομένων, οι ερευνητές πιστεύουν ότι μια ομάδα που υποστηρίζεται από κράτος είναι υπεύθυνη για αυτά τα περιστατικά. Παρόλο που οι επιθέσεις δεν έχουν αποδοθεί σε κάποιον συγκεκριμένο απειλητικό φορέα, είναι πιθανό να κρύβεται πίσω από αυτές μια ρωσική ομάδα.

«Μια ένδειξη που δείχνει την προέλευση της επίθεσης είναι η χρήση μιας σπασμένης έκδοσης του Microsoft Office 2016 που είναι δημοφιλής στις ρωσόφωνες χώρες (γνωστή ως «SPecialisST RePack» ή «Russian RePack by SPecialiST»), είπε η Bitdefender, προσθέτοντας ότι είναι επίσης ασυνήθιστο να βλέπεις το ίδιο backdoor γραμμένο σε δύο γλώσσες. Αυτή η πρακτική είχε παρατηρηθεί στο παρελθόν με την ομάδα APT28 (με έδρα τη Ρωσία) με το backdoor Zebrocy.

Είναι πιθανό ότι η αρχική μέθοδος πρόσβασης που χρησιμοποιείται από την ομάδα είναι τα phishing emails.

Η αρχική πρόσβαση αποκτήθηκε μέσω social engineering 

Οι ερευνητές λένε ότι το πιθανότερο είναι ότι οι απειλητικοί φορείς χρησιμοποίησαν τεχνικές social engineering για να παραδώσουν ένα spear-phishing email με κακόβουλο ωφέλιμο φορτίο ως αρχικό φορέα πρόσβασης.

Όταν το θύμα ανοίγει το συνημμένο αρχείο, κατεβαίνουν δύο αρχεία: ένα έγγραφο-δόλωμα που εμφανίζεται στο θύμα και μια κακόβουλη εφαρμογή HTML με ενσωματωμένο κώδικα που εκτελείται στο παρασκήνιο. Το payload είναι σχεδιασμένο για να εγκαθιδρύει επικοινωνία με διακομιστές εντολών και ελέγχου.

Exfiltration δεδομένων

Κατά την εκτέλεση, το DownEx κινείται πλευρικά σε τοπικούς και δικτυακούς δίσκους για να εξαγάγει αρχεία από έγγραφα Word, Excel και PowerPoint, εικόνες και βίντεο, συμπιεσμένα αρχεία και αρχεία PDF. Αναζητά επίσης κλειδιά κρυπτογράφησης και QuickBooks log files.

Το DownEx εξαπολύει δεδομένα χρησιμοποιώντας αρχεία zip που προστατεύονται με κωδικό πρόσβασης, περιορίζοντας το μέγεθος κάθε αρχείου στα 30 MB. Σε ορισμένες περιπτώσεις, παρατηρήθηκε η διαρροή πολλαπλών αρχείων.

Για να αποτρέψουν επιθέσεις όπως αυτή, οι ερευνητές συμβουλεύουν τους οργανισμούς να επικεντρωθούν στην εφαρμογή ενός συνδυασμού τεχνολογιών κυβερνοασφάλειας για να “σκληρύνουν” τις θέσεις ασφαλείας τους.

Άνοδος στο Russia-based malware

Μετά την εισβολή της Ρωσίας στην Ουκρανία το 2014, οι δραστηριότητες κυβερνοκατασκοπείας από τη Ρωσία στην Ουκρανία και στις χώρες που υποστηρίζουν την Ουκρανία έχουν ενταθεί σημαντικά.

Οι κυβερνήσεις προσπαθούν επίσης να διαταράξουν ενεργά αυτές τις δραστηριότητες και να εμποδίσουν ομάδες που υποστηρίζονται από το κράτος να πραγματοποιήσουν επιθέσεις.

Η είδηση για το νέο στέλεχος κακόβουλου λογισμικού που εμπλέκεται στην κυβερνοκατασκοπεία έρχεται μία ημέρα μετά την ανακοίνωση των ΗΠΑ ότι διέκοψαν ένα από τα πιο εξελιγμένα σύνολα κακόβουλου λογισμικού που χρησιμοποιούν οι ρωσικές υπηρεσίες πληροφοριών: Snake malware.

Πηγή πληροφοριών: csoonline.com