DOUBLEDRAG

DOUBLEDRAG Descrizione

Una sofisticata campagna di attacco che ha preso di mira un gruppo eterogeneo di aziende di diversi settori verticali e una moltitudine di diverse regioni è stata scoperta dai ricercatori di malware. Secondo i loro risultati, un attore di minacce non identificato (tracciato come UNC2529) ha lanciato due distinte ondate di attacchi nel dicembre 2020. Tra le potenziali vittime c'erano entità operanti nei settori della produzione medica, automobilistica, elettronica e militare. Sembra che la principale regione presa di mira dagli hacker siano stati gli Stati Uniti, seguiti dall'EMEA (Europa, Medio Oriente e Africa), alcune parti dell'Asia e dell'Australia.

Tre distaccata mai visti prima ceppi di malware doppiati DOUBLEDRAG, DOUBLEDROP, e Doubleback sono stati utilizzati nel funzionamento, ogni esecuzione di un compito distinto nella catena attacco. Come vettore di compromissione iniziale, l'attore della minaccia si è basato su e-mail di phishing personalizzate per adattarsi a ciascuna organizzazione presa di mira. In generale, gli hacker fingevano di essere dirigenti contabili che offrono servizi adatti a una varietà di settori industriali diversi. Le e-mail di richiamo hanno eliminato la prima minaccia malware nella catena di attacchi: un downloader chiamato DOUBLEDRAG.

Il DOUBLEDRAG Downloader

DOUBLEDRAG è l'unico dei tre ceppi di malware distribuiti dagli hacker UNC2529 che non è senza file. È nascosto all'interno di file JavaScript fortemente offuscati o di documenti Excel con macro incorporate. I file .js erano associati a documenti .PDF fortemente danneggiati. Si ritiene che l'obiettivo fosse quello di portare gli utenti frustrati a eseguire i file JavaScript dannosi nel tentativo di leggere i contenuti codificati dei PDF.

Il malware DOUBLEDRAG non è dotato di funzionalità estranee. È una minaccia semplificata progettata per un unico scopo: recuperare e avviare il carico utile della fase successiva, il contagocce DOUBLEDROP.

I ricercatori Mandiant affermano che l'analisi della campagna UNC2529 e dei ceppi di malware coinvolti è ancora in corso. Gli hacker hanno implementato significative tecniche di offuscamento e in-memory per rendere molto più difficile qualsiasi tentativo di analizzare gli strumenti minacciosi.