DOUBLEDROP

Een nieuwe aanvalscampagne met drie nooit eerder vertoonde malwaretools is ontdekt door beveiligingsonderzoekers. De operaties vonden plaats in december 2020 en bestonden uit twee verschillende activiteitengolven. De gebruikte infrastructuur en malwarebedreigingen laten zien dat de dreigingsactoren zowel ervaring als toegang hebben tot voldoende middelen. De onderzoekers noemden de hackers UNC2529, terwijl de drie bedreigende stammen DOUBLEDRAG, DOUBLEDROP en DOUBLEBACK werden genoemd.

De aanvalscampagne omvatte de verspreiding van phishing-e-mails die waren afgestemd op elk specifiek slachtoffer. De beoogde entiteiten waren afkomstig uit meerdere branches: militaire productie, hightech elektronica, geneeskunde en automobiel. Hoewel de meesten zich in de VS bevonden, werden potentiële slachtoffers ook ontdekt in de EMEA-regio (Europa, het Midden-Oosten en Afrika), Azië en Australië. De lokaas-e-mails zijn ontworpen om te lijken alsof ze worden verzonden door een boekhoudkundige die diensten aanbiedt die verband houden met de operaties van het slachtoffer.

De DOUBLEDROP-functionaliteit

De DOUBLEDROP-malware fungeerde als een middelste tool die verantwoordelijk was voor het ophalen en uitvoeren van de laatste DOUBLEBACK-backdoor-payload op het gecompromitteerde systeem. Het bestaat uit een versluierd PowerShell-script dat in het geheugen werkt. Het wordt geleverd met twee exemplaren van de backdoor-tool van de volgende fase en degene die wordt uitgevoerd, hangt af van of het geïnfecteerde systeem op een 32- of 64-bits architectuur draait. Zowel DOUBLEDROP als DOUBLEBACK komen niet voor in het bestandssysteem van het slachtoffer en worden in plaats daarvan geserialiseerd in de Registry-database.