DOUBLEBACK
DOUBLEBACK是一種新發現的無文件惡意軟件,被部署為2020年12月的攻擊活動的一部分。研究人員將負責該操作的威脅參與者追踪為UNC2529。根據他們的發現,DOUBLEBACK是交付給受感染系統的最終有效負載。它的任務是在受害者的機器上建立並維護後門。
為了容納更大的目標池,DOUBLEBACK惡意軟件以兩個實例的形式分發,執行的一個實例取決於受感染系統的體系結構-32位還是64位。後門程序被加載並註入到由上一階段惡意軟件(名為DOUBLEDROP的刪除程序)準備的PowerShell進程中。之後,威脅會加載其插件並建立通信循環。它嘗試到達其命令和控制(C2,C&C)服務器,獲取所有傳入的命令,然後執行它們。
先進的攻擊運動
從操作的結構和範圍來看,UNC2529似乎既有經驗,又可以使用大量資源。威脅行動者以醫療,軍事製造,汽車和高科技電子等眾多行業領域的實體為目標。潛在的受害者還分佈在多個地理區域,包括美國,歐洲,中東和非洲(歐洲,中東和非洲),亞洲和澳大利亞。
為了提供名為DOUBLEDRAG的初始威脅,黑客依靠網絡釣魚電子郵件更改了設計以匹配特定目標。使電子郵件看起來盡可能合法,同時又保留了會計主管發送郵件的外觀。損壞的鏈接可能會將目標用戶引導至與JavaScript文件配對的.PDF文件。 PDF可能會損壞到其內容變得不可讀的程度。然後,目標用戶將被迫執行.js文件以嘗試訪問內容,而在此過程中無意中執行了DOUBLEDRAG下載程序。應該注意的是,只有下載者威脅存在於受感染設備的文件系統中。隨後發布的所有其他威脅都將在註冊表數據庫中序列化。
