DOUBLEBACK

DOUBLEBACK to nowo odkryte bezplikowe szkodliwe oprogramowanie wdrożone w ramach kampanii ataku, która miała miejsce w grudniu 2020 r. Osoby odpowiedzialne za te operacje są śledzone przez naukowców jako UNC2529. Zgodnie z ich ustaleniami DOUBLEBACK jest ostatnim ładunkiem dostarczanym do zaatakowanych systemów. Jego zadaniem jest ustanowienie i utrzymywanie backdoora na komputerze ofiary.

Aby pomieścić większą pulę celów, szkodliwe oprogramowanie DOUBLEBACK jest dostarczane jako dwie instancje, a ta, która zostanie uruchomiona, zależy od architektury zainfekowanego systemu - 32- lub 64-bitowej. Backdoor jest ładowany i wstrzykiwany do procesu PowerShell przygotowanego przez złośliwe oprogramowanie z poprzedniego etapu, dropper o nazwie DOUBLEDROP. Następnie zagrożenie ładuje swoje wtyczki i ustanawia pętlę komunikacyjną. Próbuje dotrzeć do swoich serwerów Command-and-Control (C2, C&C), pobierać wszelkie przychodzące polecenia i je wykonywać.

Wyrafinowana kampania ataku

Sądząc po strukturze i zakresie operacji, wydaje się, że UNC2529 ma zarówno doświadczenie, jak i dostęp do znacznych zasobów. Podmioty zagrażające atakowały podmioty z wielu branż, takich jak przemysł medyczny, wojskowy, motoryzacyjny i elektronika high-tech. Potencjalne ofiary były również rozproszone w kilku regionach geograficznych, w tym w Stanach Zjednoczonych, regionie EMEA (Europa, Bliski Wschód i Afryka), Azji i Australii.

Aby dostarczyć zagrożenie na początkowym etapie o nazwie DOUBLEDRAG, hakerzy oparli się na e-mailach phishingowych, które zmieniły projekt, aby dopasować go do konkretnego celu. E-maile miały wyglądać na tak uzasadnione, jak to tylko możliwe, jednocześnie utrzymując pozory wysyłania przez księgowego. Uszkodzone linki prowadziłyby docelowego użytkownika do pliku .PDF sparowanego z plikiem JavaScript. Pliki PDF zostałyby uszkodzone do tego stopnia, że ich zawartość stałaby się nieczytelna. Docelowy użytkownik byłby wówczas zmuszony do wykonania pliku .js w celu uzyskania dostępu do treści, nieumyślnie uruchamiając w tym procesie program do pobierania DOUBLEDRAG. Należy zauważyć, że w systemie plików zaatakowanego urządzenia żyje tylko zagrożenie downloader; wszystkie inne dostarczane następnie zagrożenia są serializowane w bazie danych Rejestru.