DownEx マルウェア

情報セキュリティの研究者らによると、中央アジアの政府機関は、標的を絞った複雑なスパイ活動の焦点となっている。この操作では、これまで専門家には知られていなかった DownEx と呼ばれる新しいタイプのマルウェアが使用されます。これまでのところ、この攻撃は特定のAPT（Advanced Persistent Threat）やサイバー犯罪グループによるものではないとされていますが、ロシアに拠点を置く攻撃者の関与を示す証拠があります。

DownEx マルウェアに関連する最初の報告された事件はカザフスタンで発生し、2022 年末に外国政府機関に対して高度に標的を絞った攻撃が開始されました。その後、別の攻撃がアフガニスタンでも観察されました。被害者をおびき寄せるために外交をテーマにした文書が使用されたことや、攻撃者が機密データの収集に重点を置いていることから、国家支援団体の関与が強く示唆されている。ただし、ハッキング組織の身元はまだ確認されていません。作戦はまだ進行中であり、さらなる攻撃が発生する可能性があると、この脅威とそれに関連する攻撃活動に関するレポートを発表したBitdefenderの研究者らは警告している。

DownEx マルウェア攻撃チェーンはルアー メッセージから始まる

スパイ活動の最初の侵入手段には、脅迫的なペイロードを含むスピアフィッシングメールが含まれていたと疑われています。上記のペイロードは、Microsoft Word ドキュメントを装ったローダー実行可能ファイルです。添付ファイルを開くと 2 つのファイルが抽出され、そのうちの 1 つはおとりとして被害者に示される偽の文書です。同時に、VBScript コードを含む悪意のある HTML アプリケーション (.HTA) ファイルがバックグラウンドで実行されます。

HTA ファイルは、リモート コマンド アンド コントロール (C2、C&C) サーバーとの接続を確立して、次の段階のペイロードを取得するように設計されています。このマルウェア ツールの正確な性質はまだ明らかにされていませんが、侵害されたシステム上で永続性を確立する任務を負ったバックドアであると考えられています。これは、このキャンペーンが、外国政府機関からのデータ窃取に焦点を当てた、高度に組織化された洗練された攻撃者 (おそらく国家支援グループ) によって実行されていることを示唆しています。

DownEx マルウェアとともに展開される追加の脅威ツール

DownEx マルウェアの 2 つの異なるバージョンが観察されています。最初のバリアントでは、中間 VBScript を使用してファイルを収集し、ZIP アーカイブの形式でリモート サーバーに送信します。 2 番目の亜種は、slmgr.vibe という VBE スクリプトを介してダウンロードされ、C++ の代わりに VBScript を使用します。プログラミング言語が異なるにもかかわらず、2 番目のバージョンは最初のバージョンと同じ悪意のある機能を保持しています。

2 番目の DownEx マルウェア亜種は、ファイルレス攻撃手法を使用します。これは、DownEx スクリプトがメモリ内でのみ実行され、感染したデバイスのディスクには決して触れないことを意味します。この手法は、現代のサイバー攻撃がますます巧妙化していることを浮き彫りにし、サイバー犯罪者が攻撃をより効果的にし、検出を困難にする新しい手法を開発していることを示しています。