DOUBLEBACK

DOUBLEBACK är en nyupptäckt filelös skadlig kod som används som en del av en attackkampanj som ägde rum i december 2020. De hotaktörer som ansvarar för operationerna spåras som UNC2529 av forskare. Enligt deras resultat är DOUBLEBACK den slutliga nyttolasten som levereras till de komprometterade systemen. Dess uppgift är att etablera och underhålla en bakdörr på offrets maskin.

För att rymma en större pool av mål levereras skadlig programvara DOUBLEBACK som två instanser, och den som körs beror på arkitekturen hos det infekterade systemet - antingen 32 eller 64-bitars. Bakdörren laddas och injiceras i en PowerShell-process förberedd av skadlig programvara från tidigare steg, en dropper som heter DOUBLEDROP. Därefter laddar hotet sina plugins och skapar en kommunikationsslinga. Den försöker nå sina Command-and-Control (C2, C&C) servrar, hämta alla inkommande kommandon och utföra dem.

Den sofistikerade attackkampanjen

Att döma av operationens struktur och omfattning verkar UNC2529 ha både erfarenhet och tillgång till betydande resurser. Hotaktörerna riktade sig till enheter från en mängd olika industrivertikaler som medicinsk, militär tillverkning, fordonsindustri och högteknologisk elektronik. De potentiella offren var också spridda över flera geografiska regioner inklusive USA, EMEA (Europa, Mellanöstern och Afrika), Asien och Australien.

För att leverera det inledande hotet med namnet DOUBLEDRAG förlitade sig hackarna på phishing-e-postmeddelanden som ändrade design för att matcha det specifika målet. E-postmeddelandena gjordes för att verka så legitima som möjligt samtidigt som de upprätthöll en fasad som skickades av en revisorchef. Skadade länkar leder den riktade användaren till en .PDF-fil ihopkopplad med en JavaScript-fil. PDF-filerna skulle vara skadade så att innehållet blir oläsligt. Den riktade användaren tvingas sedan att köra .js-filen i ett försök att nå innehållet, genom att oavsiktligt köra DOUBLEDRAG-nedladdaren. Det bör noteras att endast hotet om nedladdning lever i filsystemet på den komprometterade enheten. alla andra senare levererade hot serieras i registerdatabasen.