DOUBLEBACK
DOUBLEBACK是一种新发现的无文件恶意软件,被部署为2020年12月的攻击活动的一部分。研究人员将负责该操作的威胁参与者追踪为UNC2529。根据他们的发现,DOUBLEBACK是交付给受感染系统的最终有效负载。它的任务是在受害者的机器上建立并维护后门。
为了容纳更大的目标池,DOUBLEBACK恶意软件以两个实例的形式分发,执行的一个实例取决于受感染系统的体系结构-32位还是64位。后门程序被加载并注入到由上一阶段恶意软件(名为DOUBLEDROP的删除程序)准备的PowerShell进程中。之后,威胁会加载其插件并建立通信循环。它尝试到达其命令和控制(C2,C&C)服务器,获取所有传入的命令,然后执行它们。
先进的攻击运动
从操作的结构和范围来看,UNC2529似乎既有经验,又可以使用大量资源。威胁行动者以医疗,军事制造,汽车和高科技电子等众多行业领域的实体为目标。潜在的受害者还分布在多个地理区域,包括美国,欧洲,中东和非洲(欧洲,中东和非洲),亚洲和澳大利亚。
为了提供名为DOUBLEDRAG的初始威胁,黑客依靠网络钓鱼电子邮件更改了设计以匹配特定目标。使电子邮件看起来尽可能合法,同时又保留了会计主管发送邮件的外观。损坏的链接可能会将目标用户引导至与JavaScript文件配对的.PDF文件。 PDF可能会损坏到其内容变得不可读的程度。然后,目标用户将被迫执行.js文件以尝试访问内容,而在此过程中无意中执行了DOUBLEDRAG下载程序。应该注意的是,只有下载者威胁存在于受感染设备的文件系统中。随后发布的所有其他威胁都将在注册表数据库中序列化。
