DownEx 恶意软件

据信息安全研究人员称，中亚的政府机构已成为有针对性的复杂间谍活动的焦点。该操作使用了一种名为 DownEx 的新型恶意软件，此前专家们对此一无所知。到目前为止，这些攻击尚未归因于特定的 APT（高级持续威胁）或网络犯罪集团，但有证据表明俄罗斯的攻击者参与其中。

报道的第一起涉及 DownEx 恶意软件的事件发生在哈萨克斯坦，该国于 2022 年底对外国政府机构发起了针对性很强的攻击。后来在阿富汗观察到了另一起攻击。使用具有外交主题的文件来引诱受害者以及攻击者专注于收集敏感数据强烈表明有国家支持的团体参与。然而，黑客组织的身份尚未得到证实。 Bitdefender 的研究人员警告说，该行动仍在进行中，可能会发生进一步的攻击，他们发布了一份关于威胁及其相关攻击活动的报告。

DownEx 恶意软件攻击链始于诱饵信息

据怀疑，间谍活动的最初入侵手段涉及带有威胁有效负载的鱼叉式网络钓鱼电子邮件。所述有效负载是伪装成 Microsoft Word 文档的加载程序可执行文件。打开附件后，会提取两个文件，其中一个是伪造的文件，作为诱饵显示给受害者。同时，包含 VBScript 代码的恶意 HTML 应用程序 (.HTA) 文件在后台运行。

HTA 文件旨在与远程命令和控制（C2，C＆C）服务器建立联系以获得下一阶段的有效载荷。该恶意软件工具的确切性质尚未披露，但据信它是一个后门，其任务是在被破坏的系统上建立持久性。这表明该活动是由组织严密、经验丰富的威胁行为者发起的，很可能是国家资助的组织，重点是从外国政府机构中泄露数据。

与 DownEx 恶意软件一起部署的其他威胁工具

已观察到两种不同版本的 DownEx 恶意软件。第一个变体使用中间 VBScript 以 ZIP 存档的形式收集文件并将其发送到远程服务器。第二种变体通过名为 slmgr.vibe 的 VBE 脚本下载，并使用 VBScript 而不是 C++。尽管编程语言不同，但第二个版本保留了与第一个版本相同的恶意功能。

第二个 DownEx 恶意软件变体采用无文件攻击技术。这意味着 DownEx 脚本仅在内存中执行，从不接触受感染设备的磁盘。这种技术突显了现代网络攻击的日益复杂，并表明网络犯罪分子正在开发新的方法来使他们的攻击更有效、更难被发现。