Logiciel malveillant DownEx

Selon les chercheurs d'infosec, les organisations gouvernementales d'Asie centrale sont devenues le centre d'une campagne d'espionnage ciblée et complexe. Cette opération utilise un nouveau type de malware appelé DownEx, qui était auparavant inconnu des experts. Les attaques n'ont jusqu'à présent pas été attribuées à un APT (Advanced Persistent Threat) ou à un groupe cybercriminel spécifique, mais des preuves indiquent l'implication d'acteurs basés en Russie.

Le premier incident signalé impliquant le logiciel malveillant DownEx s'est produit au Kazakhstan, où une attaque très ciblée a été lancée contre des institutions gouvernementales étrangères fin 2022. Une autre attaque a ensuite été observée en Afghanistan. L'utilisation d'un document à thème diplomatique pour attirer les victimes et l'accent mis par les agresseurs sur la collecte de données sensibles suggèrent fortement l'implication d'un groupe parrainé par l'État. Cependant, l'identité de l'équipe de piratage n'a pas encore été confirmée. L'opération est toujours en cours, et de nouvelles attaques pourraient se produire, avertissent les chercheurs de Bitdefender, qui ont publié un rapport sur la menace et son activité d'attaque associée.

La chaîne d'attaque des logiciels malveillants DownEx commence par des messages leurres

On soupçonne que le moyen d'intrusion initial de la campagne d'espionnage impliquait un e-mail de harponnage porteur d'une charge utile menaçante. Ladite charge utile est un exécutable de chargeur déguisé en document Microsoft Word. Une fois la pièce jointe ouverte, deux fichiers sont extraits, dont l'un est un faux document qui est présenté à la victime comme un leurre. Simultanément, un fichier d'application HTML malveillant (.HTA) contenant du code VBScript s'exécute en arrière-plan.

Le fichier HTA est conçu pour établir un contact avec un serveur de commande et de contrôle (C2, C&C) distant afin d'obtenir la charge utile de l'étape suivante. La nature exacte de cet outil malveillant n'a pas encore été révélée, mais on pense qu'il s'agit d'une porte dérobée chargée d'établir la persistance sur le système piraté. Cela suggère que la campagne est menée par un acteur de la menace hautement organisé et sophistiqué, très probablement un groupe parrainé par l'État, avec un accent sur l'exfiltration de données d'institutions gouvernementales étrangères.

Outils de menace supplémentaires déployés parallèlement au logiciel malveillant DownEx

Deux versions différentes du DownEx Malware ont été observées. La première variante utilise un VBScript intermédiaire pour collecter et envoyer des fichiers à un serveur distant sous la forme d'une archive ZIP. La deuxième variante est téléchargée via un script VBE appelé slmgr.vibe et utilise VBScript au lieu de C++. Malgré les différents langages de programmation, la deuxième version conserve les mêmes capacités malveillantes que la première.

La deuxième variante de DownEx Malware utilise une technique d'attaque sans fichier. Cela signifie que le script DownEx est exécuté uniquement en mémoire et ne touche jamais le disque de l'appareil infecté. Cette technique met en évidence la sophistication croissante des cyberattaques modernes et montre que les cybercriminels développent de nouvelles méthodes pour rendre leurs attaques plus efficaces et plus difficiles à détecter.