DOUBLEDROP

DOUBLEDROP विवरण

सुरक्षा शोधकर्ताओं द्वारा तीन कभी नहीं देखे गए मैलवेयर टूल से जुड़े एक नए हमले अभियान का पता चला है। ऑपरेशन दिसंबर 2020 में हुए और इसमें गतिविधि की दो अलग-अलग तरंगें शामिल थीं। उपयोग किए गए बुनियादी ढांचे और मैलवेयर खतरों से पता चलता है कि खतरे वाले अभिनेताओं के पास पर्याप्त संसाधनों का अनुभव और पहुंच दोनों है। शोधकर्ताओं ने हैकर्स को UNC2529 के रूप में नामित किया, जबकि तीन धमकी भरे उपभेदों को DOUBLEDRAG, DOUBLEDROP और DOUBLEBACK करार दिया गया।

हमले के अभियान में प्रत्येक विशिष्ट पीड़ित से मेल खाने के लिए तैयार फ़िशिंग ईमेल का प्रसार शामिल था। लक्षित इकाइयाँ कई उद्योग वर्टिकल - सैन्य विनिर्माण, उच्च तकनीक वाले इलेक्ट्रॉनिक्स, चिकित्सा और मोटर वाहन से आई हैं। जबकि अधिकांश अमेरिका में स्थित थे, EMEA क्षेत्र (यूरोप, मध्य पूर्व और अफ्रीका), एशिया और ऑस्ट्रेलिया में भी संभावित पीड़ितों का पता लगाया गया था। चारा ईमेल को इस तरह डिज़ाइन किया गया था जैसे कि उन्हें पीड़ित के संचालन से संबंधित लेखा कार्यकारी सेवाओं की पेशकश के द्वारा भेजा जा रहा हो।

DOUBLEDROP कार्यक्षमता

DOUBLEDROP मैलवेयर एक मध्यम-चरण उपकरण के रूप में कार्य करता है जो समझौता प्रणाली पर अंतिम DOUBLEBACK पिछले दरवाजे पेलोड को लाने और निष्पादित करने के लिए जिम्मेदार है। इसमें एक obfuscated PowerShell स्क्रिप्ट शामिल है जो मेमोरी में संचालित होती है। यह अगले चरण के पिछले टूल के दो उदाहरणों के साथ बंडल हो जाता है, जिसे निष्पादित किया जाता है, यह निर्भर करता है कि संक्रमित सिस्टम 32 या 64-बिट आर्किटेक्चर पर चलता है या नहीं। DOUBLEDROP और DOUBLEBACK दोनों पीड़ित की फ़ाइल प्रणाली में मौजूद नहीं हैं और इसके बजाय रजिस्ट्री डेटाबेस में क्रमबद्ध हैं।