Новости Новый вид вредоносного ПО DownEx атакует правительственные учреждения Казахстана и Афганистана

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Атаки приписали российским хакерам, которые пытаются шпионить за госслужащими этих стран.


reeizvjjz0axn7vydz9ahefbdxf5vgsk.jpg


Исследователи безопасности ИБ-компании Bitdefender Labs Для просмотра ссылки Войди или Зарегистрируйся , нацеленную на правительственные учреждения в Казахстане и Афганистане. В атаках используется новый вид вредоносного ПО, получившего название DownEx. Эксперты полагают, что за атакой стоят российские правительственные хакеры.

Атака была впервые замечена в конце 2022 года, когда хакеры разослали электронные письма с документами, связанными с дипломатической деятельностью. Вложения в письмах представляли собой исполняемые файлы, маскирующиеся под документы Microsoft Word.

При запуске эти файлы извлекали два других файла: один – документ-приманка для жертвы, другой – HTA-файл со встроенным кодом VBScript. Этот код устанавливал связь с сервером управления и контроля (C2) и доставлял полезную нагрузку второго этапа. Исследователи Bitdefender не смогли получить второй этап атаки, но предположили, что он содержал скрытый модуль для установки постоянного доступа к зараженной системе.


qa4qp48p34ljmkothew7f8e72q3z3a7x.png


Документ-приманка

Кроме того, хакеры использовали несколько собственных инструментов, в том числе два инструмента на C/C++, предназначенных для перечисления всех ресурсов в сети, скрипт на Python для установления непрерывной связи с C2-сервером и получения команд от него, а также вредоносное ПО на C++ (diagsvc.exe или DownEx), которое использовалось для эксфильтрации данных.


02v4j6bewnml0eztydo2bb9yladig6er.png


Цепочка атак

Исследователи не смогли точно определить, кто стоит за этой атакой, но нашли несколько улик, указывающих на российское происхождение. Одна из них - использование взломанной версии Microsoft Office 2016, популярной в русскоязычных странах. Еще одна - использование одного и того же скрытого модуля, написанного на двух языках - такую практику ранее наблюдали у группы APT28, которая использовала свой скрытый модуль Для просмотра ссылки Войди или Зарегистрируйся .

Эта атака является еще одним примером того, как кибербезопасность становится все более актуальной темой для правительств и организаций по всему миру. Вредоносное ПО DownEx представляет собой новую угрозу, которая может быть использована для шпионажа и саботажа. Исследователи Bitdefender рекомендуют быть бдительными и использовать надежные антивирусные решения для защиты своих систем от подобных атак.
 
Источник новости
www.securitylab.ru

Похожие темы