DOUBLEDROP

En ny angrebskampagne, der involverer tre aldrig før set malware-værktøjer, er blevet opdaget af sikkerhedsforskere. Operationer fandt sted i december 2020 og bestod af to forskellige bølger af aktivitet. Den anvendte infrastruktur og malware-trusler viser, at trusselaktørerne har både erfaring og adgang til tilstrækkelige ressourcer. Forskerne udpegede hackerne som UNC2529, mens de tre truende stammer blev kaldt DOUBLEDRAG, DOUBLEDROP og DOUBLEBACK.

Angrebskampagnen involverede formidling af phishing-e-mails, der er skræddersyet til at matche hvert enkelt offer. De målrettede enheder kom fra flere branchevertikaler - militær fremstilling, højteknologisk elektronik, medicin og bilindustrien. Mens de fleste var placeret i USA, blev potentielle ofre også opdaget i EMEA-regionen (Europa, Mellemøsten og Afrika), Asien og Australien. Lokkemad-e-mails blev designet til at se ud som om de sendes af en regnskabsfører, der tilbyder tjenester relateret til ofrets operationer.

DOUBLEDROP-funktionaliteten

DOUBLEDROP-malware fungerede som et middelværktøj, der er ansvarlig for at hente og udføre den endelige DOUBLEBACK-bagdør-nyttelast på det kompromitterede system. Det består af et tilsløret PowerShell-script, der fungerer i hukommelsen. Det leveres med to forekomster af det næste trin bagdørværktøj med det, der bliver udført, afhænger af, om det inficerede system kører på en 32 eller 64-bit arkitektur. Både DOUBLEDROP og DOUBLEBACK findes ikke i offerets filsystem og er i stedet serialiseret i registreringsdatabasen.