DOUBLEDROP

DOUBLEDROP说明

安全研究人员发现了一个涉及三个前所未有的恶意软件工具的新攻击活动。该行动于2020年12月进行,包括两次不同的活动浪潮。使用的基础架构和恶意软件威胁表明,威胁行为者既有经验,又有足够的资源访问权限。研究人员将黑客指定为UNC2529,而这三种威胁株被称为DOUBLEDRAG,DOUBLEDROP和DOUBLEBACK

攻击活动涉及散布为匹配每个特定受害者而量身定制的网络钓鱼电子邮件。目标实体来自多个垂直行业-军事制造,高科技电子,医药和汽车。尽管大多数人位于美国,但在欧洲,中东和非洲地区(欧洲,中东和非洲),亚洲和澳大利亚也发现了潜在的受害者。诱饵电子邮件的设计看起来像是由提供与受害者操作相关的服务的会计主管发送的。

DOUBLEDROP功能

DOUBLEDROP恶意软件充当了中间阶段的工具,负责将最终的DOUBLEBACK后门有效载荷提取并执行到受感染的系统上。它包含一个在内存中运行的模糊PowerShell脚本。它与两个后阶段后门工具实例捆绑在一起,要执行的一个实例取决于受感染的系统是在32位还是64位体系结构上运行。受害者的文件系统中不存在DOUBLEDROP和DOUBLEBACK,而是在注册表数据库中进行了序列化。