DOUBLEDRAG
एक परिष्कृत हमले का अभियान जिसने विभिन्न उद्योग वर्टिकल से विभिन्न कंपनियों के समूह को लक्षित किया और विभिन्न क्षेत्रों की भीड़ को मैलवेयर शोधकर्ताओं द्वारा उजागर किया गया। उनके निष्कर्षों के अनुसार, एक अज्ञात खतरे वाले अभिनेता (UNC2529 के रूप में ट्रैक किए गए) ने दिसंबर 2020 में दो अलग-अलग हमले की लहरें शुरू कीं। संभावित पीड़ितों में चिकित्सा, मोटर वाहन, इलेक्ट्रॉनिक्स और सैन्य विनिर्माण उद्योगों में काम करने वाली इकाइयाँ थीं। ऐसा प्रतीत होता है कि हैकर्स द्वारा लक्षित मुख्य क्षेत्र अमेरिका था जिसके बाद ईएमईए (यूरोप, मध्य पूर्व, और अफ्रीका), एशिया और ऑस्ट्रेलिया के कुछ हिस्से थे।
तीन अलग-अलग पहले कभी नहीं देखे गए मैलवेयर उपभेदों को DOUBLEDRAG, DOUBLEDROP, और DOUBLEBACK को ऑपरेशन में उपयोग किया गया था, जिनमें से प्रत्येक ने हमले की श्रृंखला में एक अलग कार्य किया था। प्रारंभिक समझौता वेक्टर के रूप में, खतरे वाले अभिनेता फ़िशिंग ईमेल पर निर्भर थे जो प्रत्येक लक्षित संगठन से मेल खाने के लिए तैयार थे। सामान्य तौर पर, हैकर विभिन्न उद्योग क्षेत्रों के लिए उपयुक्त सेवाओं की पेशकश करने वाले लेखाकार के अधिकारी होने का दिखावा करते हैं। ल्यूरिंग ईमेल्स ने अटैक चेन में पहला मैलवेयर खतरा गिराया - DOUBLEDRAG नामक एक डाउनलोडर।
DOUBLEDRAG डाउनलोडर
DOUBLEDRAG UNC2529 हैकर्स द्वारा तैनात किए गए तीन मैलवेयर उपभेदों में से एकमात्र है जो कि फिल्म विहीन नहीं है। यह एम्बेडेड मैक्रोज़ के साथ या तो भारी रूप से बाधित जावास्क्रिप्ट फ़ाइलों या एक्सेल दस्तावेजों के अंदर छिपा हुआ है। .Js फ़ाइलों को भारी दूषित .PDF दस्तावेज़ों के साथ जोड़ा गया था। यह माना जाता है कि यह लक्ष्य पीडीएफ की तली हुई सामग्री को पढ़ने की कोशिश में निराश जावास्क्रिप्ट फ़ाइलों को निष्पादित करने में निराश उपयोगकर्ताओं का नेतृत्व करना था।
DOUBLEDRAG मैलवेयर किसी भी बाहरी क्षमता से सुसज्जित नहीं है। यह एक सुव्यवस्थित खतरे के लिए डिज़ाइन किया गया है - अगले चरण पेलोड, DOUBLEDROP ड्रॉपर लाने और शुरू करने के लिए।
अनिवार्य शोधकर्ता बताते हैं कि UNC2529 अभियान का विश्लेषण और इसमें शामिल मालवेयर स्ट्रेन अभी भी जारी है। हैकरों ने धमकी भरे साधनों के विश्लेषण में कोई प्रयास करने के लिए महत्वपूर्ण अड़चन और इन-मेमोरी तकनीकों को लागू किया जो बहुत कठिन था।
