DOUBLEDROP

DOUBLEDROP說明

安全研究人員發現了一個涉及三個前所未有的惡意軟件工具的新攻擊活動。該行動於2020年12月進行,包括兩次不同的活動浪潮。使用的基礎架構和惡意軟件威脅表明,威脅行為者既有經驗,又有足夠的資源訪問權限。研究人員將黑客指定為UNC2529,而這三種威脅株被稱為DOUBLEDRAG,DOUBLEDROP和DOUBLEBACK

攻擊活動涉及散佈為匹配每個特定受害者而量身定制的網絡釣魚電子郵件。目標實體來自多個垂直行業-軍事製造,高科技電子,醫藥和汽車。儘管大多數人位於美國,但在歐洲,中東和非洲地區(歐洲,中東和非洲),亞洲和澳大利亞也發現了潛在的受害者。誘餌電子郵件的設計看起來像是由提供與受害者操作相關的服務的會計主管發送的。

DOUBLEDROP功能

DOUBLEDROP惡意軟件充當了中間階段的工具,負責將最終的DOUBLEBACK後門有效載荷提取並執行到受感染的系統上。它包含一個在內存中運行的模糊PowerShell腳本。它與兩個後階段後門工具實例捆綁在一起,一個後門工具實例將被執行取決於被感染系統是在32位還是64位體系結構上運行。受害者的文件系統中不存在DOUBLEDROP和DOUBLEBACK,而是在註冊表數據庫中進行了序列化。