DOUBLEDROP

Uma nova campanha de ataque envolvendo três ferramentas de malware nunca antes vistas foi detectada pelos pesquisadores de segurança. As operações ocorreram em dezembro de 2020 e consistiram em duas ondas distintas de atividade. A infraestrutura usada e as ameaças de malware mostram que os atores da ameaça têm experiência e acesso a recursos suficientes. Os pesquisadores designaram os hackers como UNC2529, enquanto ao três tipos ameaçadores foram apelidados de DOUBLEDRAG , DOUBLEDROP e DOUBLEBACK.

A campanha de ataque envolveu a disseminação de e-mails de phishing feitos sob medida para cada vítima específica. As entidades visadas vieram de vários setores da indústria - manufatura militar, eletrônicos de alta tecnologia, medicina e automotivo. Embora a maioria estivesse localizada nos EUA, as vítimas potenciais também foram detectadas na região EMEA (Europa, Oriente Médio e África), Ásia e Austrália. Os e-mails de isca foram projetados para parecer que estão sendo enviados por um executivo de contabilidade que oferece serviços relacionados às operações da vítima.

A Funcionalidade do DOUBLEDROP

O malware DOUBLEDROP agiu como uma ferramenta de estágio intermediário responsável por buscar e executar a carga backdoor final DOUBLEBACK no sistema comprometido. Isos consiste em um script PowerShell ofuscado que opera na memória. Ele vem com duas instâncias da ferramenta backdoor de próximo estágio, e aquela que é executada depende se o sistema infectado é executado em uma arquitetura de 32 ou 64 bits. DOUBLEDROP e DOUBLEBACK não existem no sistema de arquivos da vítima e, em vez disso, são serializados no banco de dados do Registro.