DOUBLEDRAG
Badacze złośliwego oprogramowania odkryli wyrafinowaną kampanię ataków skierowaną do zróżnicowanej grupy firm z różnych branż i wielu różnych regionów. Zgodnie z ich ustaleniami niezidentyfikowany aktor będący zagrożeniem (śledzony jako UNC2529) rozpoczął dwie odrębne fale ataków w grudniu 2020 r. Wśród potencjalnych ofiar były podmioty działające w przemyśle medycznym, motoryzacyjnym, elektronicznym i wojskowym. Wygląda na to, że głównym regionem, na który atakowali hakerzy, były Stany Zjednoczone, a następnie region EMEA (Europa, Bliski Wschód i Afryka), niektóre części Azji i Australii.
W operacji wykorzystano trzy osobne, nigdy wcześniej nie widziane szczepy złośliwego oprogramowania o nazwach DOUBLEDRAG, DOUBLEDROP i DOUBLEBACK, z których każdy wykonał odrębne zadanie w łańcuchu ataków. Jako początkowy wektor włamania, osoba atakująca polegała na wiadomościach phishingowych, które były dostosowane do każdej atakowanej organizacji. Ogólnie rzecz biorąc, hakerzy udawali dyrektorów księgowych oferujących usługi odpowiednie dla wielu różnych sektorów przemysłu. Wabiące e-maile porzuciły pierwsze zagrożenie ze strony złośliwego oprogramowania w łańcuchu ataków - downloader o nazwie DOUBLEDRAG.
DOUBLEDRAG Downloader
DOUBLEDRAG to jedyny z trzech szczepów złośliwego oprogramowania wdrożonych przez hakerów UNC2529, który nie jest bezplikowy. Jest ukryty w mocno zaciemnionych plikach JavaScript lub dokumentach programu Excel z osadzonymi makrami. Pliki .js zostały sparowane z mocno uszkodzonymi dokumentami .PDF. Uważa się, że celem było skłonienie sfrustrowanych użytkowników do wykonania złośliwych plików JavaScript w celu odczytania zaszyfrowanej zawartości plików PDF.
Złośliwe oprogramowanie DOUBLEDRAG nie jest wyposażone w żadne dodatkowe możliwości. Jest to usprawnione zagrożenie zaprojektowane w jednym celu - do pobrania i zainicjowania ładunku następnego etapu, droppera DOUBLEDROP.
Badacze z Mandiant twierdzą, że analiza kampanii UNC2529 i zaangażowanych w nią szczepów złośliwego oprogramowania wciąż trwa. Hakerzy wdrożyli znaczące techniki zaciemniania i zapisywania w pamięci, aby utrudnić analizę zagrażających narzędzi.
