DOUBLEBACK

DOUBLEBACK, Aralık 2020'de gerçekleşen bir saldırı kampanyasının parçası olarak yerleştirilen, yeni keşfedilen dosyasız bir kötü amaçlı yazılımdır. Operasyonlardan sorumlu tehdit aktörleri, araştırmacılar tarafından UNC2529 olarak izlenmektedir. Bulgularına göre DOUBLEBACK, tehlikeye atılan sistemlere verilen son yüktür. Görevi, kurbanın makinesinde bir arka kapı kurmak ve sürdürmektir.

Daha büyük bir hedef havuzunu barındırmak için, DOUBLEBACK kötü amaçlı yazılımı iki örnek olarak teslim edilir ve yürütülecek olan, virüslü sistemin mimarisine (32 veya 64 bit) bağlıdır. Arka kapı, DOUBLEDROP adlı bir damlalık olan önceki aşama kötü amaçlı yazılım tarafından hazırlanan bir PowerShell işlemine yüklenir ve enjekte edilir. Daha sonra tehdit, eklentilerini yükler ve bir iletişim döngüsü oluşturur. Komut ve Kontrol (C2, C&C) sunucularına ulaşmaya, gelen komutları almaya ve bunları yerine getirmeye çalışır.

Sofistike Saldırı Harekatı

Operasyonun yapısı ve kapsamına bakıldığında, UNC2529 önemli kaynaklara hem deneyime hem de erişime sahip görünüyor. Tehdit aktörleri, tıp, askeri imalat, otomotiv ve yüksek teknoloji ürünü elektronik gibi çok sayıda endüstri dikeyinden varlıkları hedef aldı. Potansiyel kurbanlar ayrıca ABD, EMEA (Avrupa, Orta Doğu ve Afrika), Asya ve Avustralya dahil olmak üzere çeşitli coğrafi bölgelere yayıldı.

Bilgisayar korsanları, DOUBLEDRAG adlı ilk aşama tehdidini sağlamak için, tasarımları belirli hedefe uyacak şekilde değiştiren kimlik avı e-postalarına güvendiler. E-postalar, bir muhasebeci yönetici tarafından gönderildiği yönünü korurken olabildiğince meşru görünmesi için yapıldı. Bozuk bağlantılar, hedeflenen kullanıcıyı bir JavaScript dosyasıyla eşleştirilmiş bir .PDF dosyasına yönlendirir. PDF'ler, içerikleri okunamaz hale gelene kadar bozulabilir. Hedeflenen kullanıcı daha sonra içeriğe ulaşmak için .js dosyasını yürütmeye zorlanır ve bu işlemde yanlışlıkla DOUBLEDRAG indiricisini çalıştırır. Güvenliği ihlal edilen aygıtın dosya sisteminde yalnızca karşıdan yükleyen tehdidin bulunduğu unutulmamalıdır; daha sonra iletilen diğer tüm tehditler, Kayıt veritabanında serileştirilir.