DOUBLEDROP

Una nuova campagna di attacco che coinvolge tre strumenti malware mai visti prima è stata rilevata dai ricercatori della sicurezza. Le operazioni si sono svolte nel dicembre 2020 e consistevano in due distinte ondate di attività. L'infrastruttura utilizzata e le minacce malware dimostrano che gli attori delle minacce hanno esperienza e accesso a risorse sufficienti. I ricercatori hanno designato gli hacker come UNC2529 mentre i tre ceppi che minacciano sono stati doppiati DOUBLEDRAG, DOUBLEDROP e DoubleBack.

La campagna di attacco ha comportato la diffusione di e-mail di phishing personalizzate in base a ciascuna specifica vittima. Le entità target provenivano da più settori verticali: produzione militare, elettronica high-tech, medicina e automobilistica. Mentre la maggior parte si trovava negli Stati Uniti, le potenziali vittime sono state rilevate anche nella regione EMEA (Europa, Medio Oriente e Africa), Asia e Australia. Le e-mail esche sono state progettate per sembrare inviate da un dirigente contabile che offre servizi relativi alle operazioni della vittima.

La funzionalità DOUBLEDROP

Il malware DOUBLEDROP ha agito come uno strumento intermedio responsabile del recupero e dell'esecuzione del payload backdoor DOUBLEBACK finale sul sistema compromesso. Consiste in uno script PowerShell offuscato che opera nella memoria. Viene fornito in bundle con due istanze dello strumento backdoor della fase successiva con quella che viene eseguita a seconda che il sistema infetto funzioni su un'architettura a 32 o 64 bit. Sia DOUBLEDROP che DOUBLEBACK non esistono nel file system della vittima e sono invece serializzati nel database del Registro.