間諜活動中使用的 DownEx 惡意軟件
羅馬尼亞網絡安全研究人員發現了一種名為 DownEx 的新型惡意軟件。
它被用於針對中亞政府組織的複雜間諜活動,有證據表明俄羅斯的威脅行為者參與其中。這些攻擊是通過魚叉式網絡釣魚電子郵件進行的,其中包含一個誘殺有效載荷,偽裝成 Microsoft Word 文件。
打開附件後,會顯示一個誘餌文檔,而惡意 HTML 應用程序會在後台運行。該 HTA 文件旨在與遠程命令和控制服務器建立聯繫以檢索下一階段的有效載荷,這被認為是建立持久性的後門。攻擊者還使用自定義工具進行後期開發活動,包括用於枚舉網絡資源的基於 C/C++ 的二進製文件、用於接收竊取文件、刪除其他惡意軟件和捕獲屏幕截圖指令的 Python 腳本,以及名為 DownEx 的基於 C++ 的惡意軟件將文件洩露到 C2 服務器。
還發現了另外兩種 DownEx 變體。研究人員進一步指出,這是一種無文件攻擊,這意味著惡意腳本僅存在於內存中,永遠不會進入受害者的驅動器。
什麼是無文件惡意軟件,是什麼讓它特別危險?
無文件惡意軟件是一種在計算機內存中運行的惡意軟件,不會在硬盤驅動器上留下任何痕跡。這使得使用傳統防病毒軟件檢測和刪除特別困難,因為沒有文件可供掃描。無文件惡意軟件通常不依賴於文件或可執行文件,而是通過社交工程、漏洞利用或文檔中的惡意宏等技術進行傳播。
無文件惡意軟件的主要特徵之一是它使用系統上已有的合法程序或工具(例如 PowerShell 或 Windows Management Instrumentation (WMI))來執行其惡意活動。通過這樣做,無文件惡意軟件可以混入合法的系統活動並逃避傳統防病毒軟件的檢測。
無文件惡意軟件特別危險的另一個原因是它通常可以繞過端點保護措施,例如防火牆、入侵檢測和預防系統 (IDS/IPS),以及其他依賴基於文件的簽名或模式匹配算法的安全工具。此外,由於它不向磁盤寫入任何內容,因此可以在更長的時間內保持未被發現,並且更有可能在被發現之前實現其目標。
無文件惡意軟件通常用於有針對性的攻擊,例如針對金融機構或其他高價值目標的攻擊,目標是獲取對敏感信息或系統的訪問權限。它還可以用於更廣泛的攻擊,例如勒索軟件活動,攻擊者希望感染盡可能多的系統。
