DOUBLEBACK

DOUBLEBACK er en nyopdaget fileløs malware, der er udrullet som en del af en angrebskampagne, der fandt sted i december 2020. De trusselsaktører, der er ansvarlige for operationerne, spores som UNC2529 af forskere. Ifølge deres fund er DOUBLEBACK den endelige nyttelast leveret til de kompromitterede systemer. Dens opgave er at etablere og vedligeholde en bagdør på offerets maskine.

For at imødekomme en større pool af mål leveres DOUBLEBACK-malware som to forekomster, og den, der bliver udført, afhænger af arkitekturen i det inficerede system - enten 32 eller 64-bit. Bagdøren indlæses og injiceres i en PowerShell-proces, der er forberedt af malware fra det forrige trin, en dropper ved navn DOUBLEDROP. Derefter indlæser truslen dens plugins og opretter en kommunikationssløjfe. Det forsøger at nå sine Command-and-Control (C2, C&C) servere, hente eventuelle indkommende kommandoer og udføre dem.

Den sofistikerede angrebskampagne

At dømme efter struktur og omfang af operationen, synes UNC2529 at have både erfaring og adgang til betydelige ressourcer. Trusselaktørerne målrettede mod enheder fra en lang række branchevirksomheder såsom medicinsk, militær fremstilling, bilindustri og højteknologisk elektronik. De potentielle ofre var også spredt over flere geografiske regioner, herunder USA, EMEA (Europa, Mellemøsten og Afrika), Asien og Australien.

For at levere den indledende trussel ved navn DOUBLEDRAG stod hackerne på phishing-e-mails, der ændrede design for at matche det bestemte mål. E-mails blev gjort til at virke så legitime som muligt, mens de opretholdt en facade for at blive sendt af en regnskabsførende. Korrupte links ville føre den målrettede bruger til en .PDF-fil parret med en JavaScript-fil. PDF-filerne ville blive ødelagt, indtil deres indhold blev ulæseligt. Den målrettede bruger vil derefter blive tvunget til at udføre .js-filen i et forsøg på at nå indholdet og udføre DOUBLEDRAG-downloaderen i processen utilsigtet. Det skal bemærkes, at kun downloader-truslen lever i filsystemet på den kompromitterede enhed; alle andre efterfølgende leverede trusler er seriel i registerdatabasen.

Trending

Mest sete

Indlæser...