DOUBLEDRAG
恶意软件研究人员发现了一项针对不同行业,不同地区的多元化公司的复杂攻击活动。根据他们的发现,一个身份不明的威胁参与者(追踪为UNC2529)在2020年12月发起了两次不同的攻击浪潮。潜在的受害者是从事医疗,汽车,电子和军事制造行业的实体。看来,黑客所针对的主要地区是美国,其次是EMEA(欧洲,中东和非洲),亚洲和澳大利亚的某些地区。
在该操作中使用了三个分别称为DOUBLEDRAG,DOUBLEDROP和DOUBLEBACK的前所未有的恶意软件毒株,它们在攻击链中分别执行不同的任务。作为最初的入侵媒介,威胁参与者依赖于为匹配每个目标组织而量身定制的网络钓鱼电子邮件。通常,黑客冒充会计主管人员,提供适用于各种不同行业的服务。引诱性电子邮件丢弃了攻击链中的第一个恶意软件威胁-一个名为DOUBLEDRAG的下载器。
DOUBLEDRAG下载器
DOUBLEDRAG是UNC2529黑客部署的并非无档案的三种恶意软件中的唯一一种。它被隐藏在高度混淆的JavaScript文件或带有嵌入式宏的Excel文档中。 .js文件与严重损坏的.PDF文档配对。可以相信,这样做的目的是引导受挫的用户执行恶意的JavaScript文件,以尝试读取PDF的加扰内容。
DOUBLEDRAG恶意软件没有配备任何其他功能。它是为单个目的而设计的简化威胁-提取并启动下一级有效载荷DOUBLEDROP滴管。
Mandiant研究人员指出,对UNC2529活动及其中涉及的恶意软件菌株的分析仍在进行中。黑客实施了重要的混淆和内存技术,以使尝试分析威胁性工具的尝试变得更加困难。
