Новый вид вредоносного ПО DownEx атакует правительственные учреждения Казахстана и Афганистана

Artifact · #1 01-05-2025, 02:09 AM

Атаки приписали российским хакерам, которые пытаются шпионить за госслужащими этих стран.
Исследователи безопасности ИБ-компании Bitdefender Labs обнаружили новую кампанию , нацеленную на правительственные учреждения в Казахстане и Афганистане. В атаках используется новый вид вредоносного ПО, получившего название DownEx. Эксперты полагают, что за атакой стоят российские правительственные хакеры.
Атака была впервые замечена в конце 2022 года, когда хакеры разослали электронные письма с документами, связанными с дипломатической деятельностью. Вложения в письмах представляли собой исполняемые файлы, маскирующиеся под документы Microsoft Word.
При запуске эти файлы извлекали два других файла: один – документ-приманка для жертвы, другой – HTA-файл со встроенным кодом VBScript. Этот код устанавливал связь с сервером управления и контроля (C2) и доставлял полезную нагрузку второго этапа. Исследователи Bitdefender не смогли получить второй этап атаки, но предположили, что он содержал скрытый модуль для установки постоянного доступа к зараженной системе.

Документ-приманка
Кроме того, хакеры использовали несколько собственных инструментов, в том числе два инструмента на C/C++, предназначенных для перечисления всех ресурсов в сети, скрипт на Python для установления непрерывной связи с C2-сервером и получения команд от него, а также вредоносное ПО на C++ (diagsvc.exe или DownEx), которое использовалось для эксфильтрации данных.

Цепочка атак
Исследователи не смогли точно определить, кто стоит за этой атакой, но нашли несколько улик, указывающих на российское происхождение. Одна из них - использование взломанной версии Microsoft Office 2016, популярной в русскоязычных странах. Еще одна - использование одного и того же скрытого модуля, написанного на двух языках - такую практику ранее наблюдали у группы APT28, которая использовала свой скрытый модуль Zebrocy .
Эта атака является еще одним примером того, как кибербезопасность становится все более актуальной темой для правительств и организаций по всему миру. Вредоносное ПО DownEx представляет собой новую угрозу, которая может быть использована для шпионажа и саботажа. Исследователи Bitdefender рекомендуют быть бдительными и использовать надежные антивирусные решения для защиты своих систем от подобных атак.