DOUBLEDRAG
惡意軟件研究人員發現了一項針對不同行業,不同地區的多元化公司的複雜攻擊活動。根據他們的發現,一個身份不明的威脅參與者(追踪為UNC2529)在2020年12月發起了兩次不同的攻擊浪潮。潛在的受害者是從事醫療,汽車,電子和軍事製造行業的實體。看來,黑客所針對的主要地區是美國,其次是EMEA(歐洲,中東和非洲),亞洲和澳大利亞的某些地區。
在該操作中使用了三個分別稱為DOUBLEDRAG,DOUBLEDROP和DOUBLEBACK的前所未有的惡意軟件毒株,它們在攻擊鏈中分別執行不同的任務。作為最初的入侵媒介,威脅參與者依賴於為匹配每個目標組織而量身定制的網絡釣魚電子郵件。通常,黑客冒充會計主管人員,提供適用於各種不同行業的服務。引誘性電子郵件丟棄了攻擊鏈中的第一個惡意軟件威脅-一個名為DOUBLEDRAG的下載器。
DOUBLEDRAG下載器
DOUBLEDRAG是UNC2529黑客部署的並非無檔案的三種惡意軟件中的唯一一種。它被隱藏在高度混淆的JavaScript文件或帶有嵌入式宏的Excel文檔中。 .js文件與嚴重損壞的.PDF文檔配對。可以相信,這樣做的目的是引導受挫的用戶執行惡意的JavaScript文件,以嘗試讀取PDF的加擾內容。
DOUBLEDRAG惡意軟件沒有配備任何其他功能。它是為單個目的而設計的簡化威脅-提取並啟動下一級有效載荷DOUBLEDROP滴管。
Mandiant研究人員指出,對UNC2529活動及其中涉及的惡意軟件菌株的分析仍在進行中。黑客實施了重要的混淆和內存技術,以使嘗試分析威脅性工具的嘗試變得更加困難。
