DOUBLEBACK
DOUBLEBACK is een nieuw ontdekte bestandsloze malware die werd ingezet als onderdeel van een aanvalscampagne die plaatsvond in december 2020. De bedreigingsactoren die verantwoordelijk zijn voor de operaties worden door onderzoekers gevolgd als UNC2529. Volgens hun bevindingen is DOUBLEBACK de laatste payload die op de gecompromitteerde systemen wordt afgeleverd. Zijn taak is om een achterdeur op de machine van het slachtoffer te creëren en te behouden.
Om plaats te bieden aan een grotere pool van doelen, wordt de DOUBLEBACK-malware als twee instanties afgeleverd, en degene die wordt uitgevoerd, hangt af van de architectuur van het geïnfecteerde systeem - ofwel 32- of 64-bits. De achterdeur wordt geladen en geïnjecteerd in een PowerShell-proces dat is voorbereid door de malware in de vorige fase, een druppelaar met de naam DOUBLEDROP. Daarna laadt de dreiging zijn plug-ins en brengt het een communicatielus tot stand. Het probeert zijn Command-and-Control-servers (C2, C&C) te bereiken, binnenkomende commando's op te halen en uit te voeren.
De geavanceerde aanvalscampagne
Afgaande op de structuur en reikwijdte van de operatie lijkt UNC2529 zowel ervaring te hebben als toegang tot aanzienlijke middelen. De bedreigingsactoren waren gericht op entiteiten uit een groot aantal verticale sectoren, zoals de medische sector, de militaire productie, de automobielsector en hightech-elektronica. De potentiële slachtoffers waren ook verspreid over verschillende geografische regio's, waaronder de VS, EMEA (Europa, Midden-Oosten en Afrika), Azië en Australië.
Om de aanvankelijke dreiging met de naam DOUBLEDRAG af te leveren, vertrouwden de hackers op phishing-e-mails die van ontwerp veranderden om bij het specifieke doelwit te passen. De e-mails werden gemaakt om zo legitiem mogelijk te lijken, terwijl de façade werd gehandhaafd dat ze door een accountant-manager werden verzonden. Beschadigde koppelingen zouden de beoogde gebruiker naar een .PDF-bestand leiden dat is gekoppeld aan een JavaScript-bestand. De pdf's zouden zo beschadigd raken dat hun inhoud onleesbaar wordt. De beoogde gebruiker zou dan worden gedwongen om het .js-bestand uit te voeren in een poging om de inhoud te bereiken, waarbij de DOUBLEDRAG-downloader onbedoeld wordt uitgevoerd. Opgemerkt moet worden dat alleen de downloader-dreiging leeft in het bestandssysteem van het gecompromitteerde apparaat; alle andere vervolgens afgegeven bedreigingen worden geserialiseerd in de registerdatabase.
