Les organisations gouvernementales d’Asie centrale sont la cible d’une campagne d’espionnage sophistiquée qui exploite une souche de logiciels malveillants auparavant non documentée surnommée DownEx.
Bitdefender, dans un rapport partagé avec The Hacker News, a déclaré que l’activité reste active, avec des preuves indiquant probablement l’implication d’acteurs de la menace basés en Russie.
La société roumaine de cybersécurité a déclaré avoir détecté le logiciel malveillant pour la première fois lors d’une attaque très ciblée visant des institutions gouvernementales étrangères au Kazakhstan à la fin de 2022. Par la suite, une autre attaque a été observée en Afghanistan.
L’utilisation d’un document de leurre sur le thème des diplomates et l’accent mis par la campagne sur l’exfiltration de données suggèrent l’implication d’un groupe parrainé par l’État, bien que l’identité exacte de l’équipe de piratage reste indéterminée à ce stade.
Le vecteur d’intrusion initial de la campagne est soupçonné d’être un e-mail de harponnage contenant une charge utile piégée, qui est un exécutable de chargeur qui se fait passer pour un fichier Microsoft Word.
L’ouverture de la pièce jointe entraîne l’extraction de deux fichiers, dont un document leurre qui est affiché à la victime tandis qu’une application HTML malveillante (.HTA) avec du code VBScript intégré s’exécute en arrière-plan.
Le fichier HTA, pour sa part, est conçu pour établir un contact avec un serveur de commande et de contrôle (C2) distant afin de récupérer une charge utile de l’étape suivante. Bien que la nature exacte du logiciel malveillant ne soit pas inconnue, on dit qu’il s’agit d’une porte dérobée pour établir la persistance.
Les attaques se distinguent également par l’utilisation d’une variété d’outils personnalisés pour mener des activités de post-exploitation. Ceci comprend –
- Deux binaires basés sur C/C++ (wnet.exe et utility.exe) pour énumérer toutes les ressources sur un réseau,
- Un script Python (help.py) pour établir une boucle de communication infinie avec le serveur C2 et recevoir des instructions pour voler des fichiers avec certaines extensions, supprimer des fichiers créés par d’autres logiciels malveillants et capturer des captures d’écran, et
- Un malware basé sur C++ (diagsvc.exe aka DownEx) qui est principalement conçu pour exfiltrer des fichiers vers le serveur C2
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Deux autres variantes de DownEx ont également été mises à la terre, dont la première exécute un VBScript intermédiaire pour récolter et transmettre les fichiers sous la forme d’une archive ZIP.
L’autre version, qui est téléchargée via un script VBE (slmgr.vbe) à partir d’un serveur distant, évite C++ pour VBScript, mais conserve les mêmes fonctionnalités que la première.
« Il s’agit d’une attaque sans fichier – le script DownEx est exécuté en mémoire et ne touche jamais le disque », a déclaré Bitdefender. « Cette attaque met en évidence la sophistication d’une cyberattaque moderne. Les cybercriminels trouvent de nouvelles méthodes pour rendre leurs attaques plus fiables. »