DOUBLEDRAG

DOUBLEDRAG Beskrivning

En sofistikerad attackkampanj som riktar sig till en mängd olika företag från olika branschvertikaler och en mängd olika regioner har upptäckts av malware-forskare. Enligt deras resultat lanserade en oidentifierad hotaktör (spårad som UNC2529) två distinkta attackvågor redan i december 2020. Bland de potentiella offren fanns enheter som arbetar inom medicin, bil, elektronik och militär tillverkningsindustri. Det verkar som att den viktigaste regionen som hackarna riktade sig mot var USA följt av EMEA (Europa, Mellanöstern och Afrika), vissa delar av Asien och Australien.

Tre separata, aldrig tidigare sett skadliga skadestammar med namnet DOUBLEDRAG, DOUBLEDROP och DOUBLEBACK användes i operationen, var och en utförde en distinkt uppgift i attackkedjan. Som en första kompromissvektor förlitade hotaktören sig på nätfiske-e-postmeddelanden som var skräddarsydda för att matcha varje riktad organisation. I allmänhet låtsades hackarna som revisorer som erbjuder tjänster som är lämpliga för en mängd olika branscher. De lockande e-postmeddelandena tappade det första skadliga hotet i attackkedjan - en nedladdare som heter DOUBLEDRAG.

DOUBLEDRAG-nedladdaren

DOUBLEDRAG är den enda av de tre skadliga skadestammarna som används av UNC2529-hackare som inte är fileless. Den är dold i antingen kraftigt fördunklade JavaScript-filer eller Excel-dokument med inbäddade makron. .Js-filerna parades ihop med kraftigt skadade .PDF-dokument. Man tror att målet var att leda de frustrerade användarna till att köra de skadliga JavaScript-filerna i ett försök att läsa det krypterade innehållet i PDF-filerna.

DOUBLEDRAG-skadlig programvara är inte utrustad med någon främmande funktion. Det är ett strömlinjeformat hot utformat för ett enskilt syfte - att hämta och initiera nästa stegs nyttolast, DOUBLEDROP dropper.

Mandiant-forskarna konstaterar att analysen av UNC2529-kampanjen och de skadliga skadestammarna som är inblandade i den fortfarande pågår. Hackarna implementerade betydande förvirring och in-memory-tekniker för att göra alla försök att analysera de hotande verktygen mycket svårare.