DOUBLEDROP

Güvenlik araştırmacıları, daha önce hiç görülmemiş üç kötü amaçlı yazılım aracını içeren yeni bir saldırı kampanyası tespit etti. Operasyonlar Aralık 2020'de gerçekleşti ve iki farklı faaliyet dalgasından oluşuyordu. Kullanılan altyapı ve kötü amaçlı yazılım tehditleri, tehdit aktörlerinin yeterli kaynaklara hem deneyime hem de erişime sahip olduğunu gösterir. Araştırmacılar, bilgisayar korsanlarını UNC2529 olarak belirlerken, üç tehdit edici suşun adı DOUBLEDRAG, DOUBLEDROP ve DOUBLEBACK idi.

Saldırı kampanyası, her bir kurbanla eşleşecek şekilde düzenlenmiş kimlik avı e-postalarının yayılmasını içeriyordu. Hedeflenen kuruluşlar, askeri üretim, yüksek teknoloji ürünü elektronik, tıp ve otomotiv gibi birçok endüstri dikeyinden geldi. Çoğu ABD'de bulunmakla birlikte, potansiyel kurbanlar EMEA bölgesinde (Avrupa, Orta Doğu ve Afrika), Asya ve Avustralya'da da tespit edildi. Yem e-postaları, kurbanın operasyonlarıyla ilgili hizmetler sunan bir muhasebe yöneticisi tarafından gönderiliyormuş gibi görünecek şekilde tasarlandı.

DOUBLEDROP İşlevselliği

DOUBLEDROP kötü amaçlı yazılımı, son DOUBLEBACK arka kapı yükünü tehlikeye atılan sisteme getirmekten ve yürütmekten sorumlu bir orta aşama aracı olarak görev yaptı. Hafızada çalışan karmaşık bir PowerShell betiğinden oluşur. Bir sonraki aşama arka kapı aracının iki örneğiyle birlikte gelir ve çalıştırılan, virüslü sistemin 32 veya 64 bit mimaride çalışıp çalışmadığına bağlıdır. DOUBLEDROP ve DOUBLEBACK, kurbanın dosya sisteminde bulunmaz ve bunun yerine Kayıt veritabanında serileştirilir.