DOUBLEDRAG

DOUBLEDRAG Beskrivelse

En sofistikeret angrebskampagne, der var målrettet mod en forskellig gruppe af virksomheder fra forskellige branchevertikaler og en lang række forskellige regioner, er blevet afdækket af malware-forskere. Ifølge deres resultater lancerede en uidentificeret trusselsaktør (sporet som UNC2529) to forskellige angrebsbølger tilbage i december 2020. Blandt de potentielle ofre var enheder, der opererer i medicinsk, bilindustrien, elektronik og militær fremstillingsindustri. Det ser ud til, at den vigtigste region, som hackerne var målrettet mod, var USA efterfulgt af EMEA (Europa, Mellemøsten og Afrika), visse dele af Asien og Australien.

Tre separate, aldrig før set malware-stammer kaldet DOUBLEDRAG, DOUBLEDROP og DOUBLEBACK blev brugt i operationen, der hver udførte en særskilt opgave i angrebskæden. Som en indledende kompromisvektor var trusselsaktøren afhængig af phishing-e-mails, der var skræddersyet til at matche hver målrettet organisation. Generelt foregav hackerne, at de var regnskabsførere, der tilbyder tjenester, der er egnede til en række forskellige brancher. Lokkende e-mails droppede den første malware-trussel i angrebskæden - en downloader ved navn DOUBLEDRAG.

DOUBLEDRAG Downloader

DOUBLEDRAG er den eneste af de tre malware-stammer, der er indsat af UNC2529 hackere, der ikke er fileless. Det er skjult inde i enten stærkt tilslørede JavaScript-filer eller Excel-dokumenter med indlejrede makroer. .Js-filerne blev parret med stærkt korrupte .PDF-dokumenter. Det menes, at målet var at føre de frustrerede brugere til at udføre de ondsindede JavaScript-filer i et forsøg på at læse det krypterede indhold af PDF-filerne.

DOUBLEDRAG-malware er ikke udstyret med nogen fremmede muligheder. Det er en strømlinet trussel designet til et enestående formål - at hente og igangsætte næste-trins nyttelast, DOUBLEDROP-dropperen.

Mandiant-forskerne udtaler, at analysen af UNC2529-kampagnen og de malware-stammer, der er involveret i den, stadig er i gang. Hackerne implementerede betydelige slør og teknikker til hukommelse for at gøre ethvert forsøg på at analysere de truende værktøjer meget hårdere.