DOUBLEDROP

Badacze bezpieczeństwa wykryli nową kampanię ataku obejmującą trzy nigdy wcześniej nie widziane złośliwe oprogramowanie. Operacje odbyły się w grudniu 2020 roku i składały się z dwóch odrębnych fal działań. Wykorzystana infrastruktura i zagrożenia związane ze złośliwym oprogramowaniem pokazują, że aktorzy zagrożeń mają zarówno doświadczenie, jak i dostęp do wystarczających zasobów. Naukowcy oznaczyli hakerów jako UNC2529, podczas gdy trzy groźne szczepy nazwano DOUBLEDRAG, DOUBLEDROP i DOUBLEBACK.

Kampania ataku obejmowała rozpowszechnianie wiadomości phishingowych dostosowanych do każdej konkretnej ofiary. Docelowe podmioty pochodziły z wielu branż - produkcji wojskowej, zaawansowanej elektroniki, medycyny i motoryzacji. Chociaż większość znajdowała się w Stanach Zjednoczonych, potencjalne ofiary wykryto również w regionie EMEA (Europa, Bliski Wschód i Afryka), Azji i Australii. E-maile-przynęty miały wyglądać tak, jakby były wysyłane przez księgowego oferującego usługi związane z operacjami ofiary.

Funkcjonalność DOUBLEDROP

Złośliwe oprogramowanie DOUBLEDROP działało jako narzędzie środkowego etapu odpowiedzialne za pobieranie i wykonywanie końcowego ładunku backdoora DOUBLEBACK w zaatakowanym systemie. Składa się z zaciemnionego skryptu PowerShell, który działa w pamięci. Jest dostarczany w pakiecie z dwoma instancjami narzędzia backdoor następnego etapu, przy czym to, które zostanie uruchomione, zależy od tego, czy zainfekowany system działa w architekturze 32-bitowej czy 64-bitowej. Zarówno DOUBLEDROP, jak i DOUBLEBACK nie istnieją w systemie plików ofiary i zamiast tego są serializowane w bazie danych Rejestru.