DownEx 惡意軟件

據信息安全研究人員稱，中亞的政府機構已成為有針對性的複雜間諜活動的焦點。該操作使用了一種名為 DownEx 的新型惡意軟件，此前專家們對此一無所知。到目前為止，這些攻擊尚未歸因於特定的 APT（高級持續威脅）或網絡犯罪集團，但有證據表明俄羅斯的攻擊者參與其中。

報導的第一起涉及 DownEx 惡意軟件的事件發生在哈薩克斯坦，該國於 2022 年底對外國政府機構發起了針對性很強的攻擊。後來在阿富汗觀察到了另一起攻擊。使用具有外交主題的文件來引誘受害者以及攻擊者專注於收集敏感數據強烈表明有國家支持的團體參與。然而，黑客組織的身份尚未得到證實。 Bitdefender 的研究人員警告說，該行動仍在進行中，可能會發生進一步的攻擊，他們發布了一份關於威脅及其相關攻擊活動的報告。

DownEx 惡意軟件攻擊鏈始於誘餌信息

據懷疑，間諜活動的最初入侵手段涉及帶有威脅有效負載的魚叉式網絡釣魚電子郵件。所述有效負載是偽裝成 Microsoft Word 文檔的加載程序可執行文件。打開附件後，會提取兩個文件，其中一個是偽造的文件，作為誘餌顯示給受害者。同時，包含 VBScript 代碼的惡意 HTML 應用程序 (.HTA) 文件在後台運行。

HTA 文件旨在與遠程命令和控制（C2，C＆C）服務器建立聯繫以獲得下一階段的有效載荷。該惡意軟件工具的確切性質尚未披露，但據信它是一個後門，其任務是在被破壞的系統上建立持久性。這表明該活動是由組織嚴密、經驗豐富的威脅行為者發起的，很可能是國家資助的組織，重點是從外國政府機構中洩露數據。

與 DownEx 惡意軟件一起部署的其他威脅工具

已觀察到兩種不同版本的 DownEx 惡意軟件。第一個變體使用中間 VBScript 以 ZIP 存檔的形式收集文件並將其發送到遠程服務器。第二種變體通過名為 slmgr.vibe 的 VBE 腳本下載，並使用 VBScript 而不是 C++。儘管編程語言不同，但第二個版本保留了與第一個版本相同的惡意功能。

第二個 DownEx 惡意軟件變體採用無文件攻擊技術。這意味著 DownEx 腳本僅在內存中執行，從不接觸受感染設備的磁盤。這種技術突顯了現代網絡攻擊的日益複雜，並表明網絡犯罪分子正在開發新的方法來使他們的攻擊更有效、更難被發現。