DOUBLEDRAG

DOUBLEDRAG Açıklama

Kötü amaçlı yazılım araştırmacıları, farklı sektör dikeylerinden ve çok sayıda farklı bölgeden farklı bir şirket grubunu hedefleyen karmaşık bir saldırı kampanyası ortaya çıkardı. Bulgularına göre, tanımlanamayan bir tehdit aktörü (UNC2529 olarak izlendi) Aralık 2020'de iki farklı saldırı dalgası başlattı. Potansiyel kurbanlar arasında tıp, otomotiv, elektronik ve askeri imalat endüstrilerinde faaliyet gösteren varlıklar vardı. Bilgisayar korsanlarının hedeflediği ana bölgenin ABD olduğu ve onu EMEA (Avrupa, Orta Doğu ve Afrika), Asya'nın belirli bölgeleri ve Avustralya'nın izlediği anlaşılıyor.

Operasyonda DOUBLEDRAG, DOUBLEDROP ve DOUBLEBACK adlı daha önce hiç görülmemiş üç ayrı kötü amaçlı yazılım türü kullanıldı ve her biri saldırı zincirinde farklı bir görev gerçekleştirdi. Tehdit aktörü, başlangıçta bir uzlaşma vektörü olarak, hedeflenen her kuruluşla eşleşecek şekilde tasarlanmış kimlik avı e-postalarına güvendi. Genel olarak, bilgisayar korsanları, çeşitli farklı endüstri sektörlerine uygun hizmetler sunan muhasebeci yöneticiler gibi davrandılar. Cezbedici e-postalar, saldırı zincirindeki ilk kötü amaçlı yazılım tehdidini düşürdü - DOUBLEDRAG adlı bir indirici.

DOUBLEDRAG İndirici

DOUBLEDRAG, UNC2529 korsanları tarafından dağıtılan ve dosyasız olmayan üç kötü amaçlı yazılım türünden yalnızca biridir. Oldukça karmaşık hale getirilmiş JavaScript dosyalarının veya gömülü makrolara sahip Excel belgelerinin içinde gizlidir. .Js dosyaları, büyük ölçüde bozulmuş .PDF belgeleriyle eşleştirildi. Hedefin, hayal kırıklığına uğramış kullanıcıları, PDF'lerin karıştırılmış içeriğini okuma girişimiyle kötü amaçlı JavaScript dosyalarını çalıştırmaya yönlendirmek olduğuna inanılıyor.

DOUBLEDRAG kötü amaçlı yazılımı, herhangi bir yabancı yetenekle donatılmamıştır. Tek bir amaç için tasarlanmış, geliştirilmiş bir tehdittir - bir sonraki aşama yükü, DOUBLEDROP damlalığı almak ve başlatmak için.

Mandiant araştırmacıları, UNC2529 kampanyasının ve içerdiği kötü amaçlı yazılım türlerinin analizinin hala devam ettiğini belirtiyor. Bilgisayar korsanları, tehdit edici araçları çok daha zor bir şekilde analiz etmek için herhangi bir girişimde bulunmak için önemli gizleme ve bellek içi teknikler uyguladılar.