DOUBLEDRAG
Een geavanceerde aanvalscampagne die gericht was op een diverse groep bedrijven uit verschillende branches en een groot aantal verschillende regio's, is ontdekt door malware-onderzoekers. Volgens hun bevindingen lanceerde een niet-geïdentificeerde dreigingsacteur (gevolgd als UNC2529) in december 2020 twee verschillende aanvalsgolven. Onder de potentiële slachtoffers bevonden zich entiteiten die actief zijn in de medische, automobiel-, elektronica- en militaire productie-industrie. Het lijkt erop dat de belangrijkste regio waarop de hackers gericht waren, de VS waren, gevolgd door EMEA (Europa, het Midden-Oosten en Afrika), bepaalde delen van Azië en Australië.
Drie afzonderlijke nooit eerder vertoonde malwarestammen, genaamd DOUBLEDRAG, DOUBLEDROP en DOUBLEBACK, werden gebruikt in de operatie, die elk een aparte taak in de aanvalsketen uitvoerden. Als aanvankelijke compromisvector vertrouwde de bedreigingsacteur op phishing-e-mails die waren afgestemd op elke beoogde organisatie. Over het algemeen deden de hackers zich voor als accountantsbestuurders die diensten aanboden die geschikt waren voor verschillende bedrijfstakken. De verleidelijke e-mails lieten de eerste malwarebedreiging in de aanvalsketen vallen: een downloader genaamd DOUBLEDRAG.
De DOUBLEDRAG Downloader
DOUBLEDRAG is de enige van de drie malwarestammen die door de UNC2529-hackers worden ingezet en die niet bestandsloos is. Het is verborgen in sterk versluierde JavaScript-bestanden of Excel-documenten met ingesloten macro's. De .js-bestanden zijn gekoppeld aan zwaar beschadigde .PDF-documenten. Aangenomen wordt dat het doel was om de gefrustreerde gebruikers ertoe te brengen de kwaadaardige JavaScript-bestanden uit te voeren in een poging de gecodeerde inhoud van de pdf's te lezen.
De DOUBLEDRAG-malware is niet uitgerust met externe mogelijkheden. Het is een gestroomlijnde bedreiging die is ontworpen met een enkel doel: het ophalen en starten van de volgende fase, de DOUBLEDROP-druppelaar.
De Mandiant-onderzoekers stellen dat de analyse van de UNC2529-campagne en de malware-stammen die daarbij betrokken zijn, nog steeds aan de gang is. De hackers implementeerden aanzienlijke verduistering en in-memory-technieken om elke poging om de bedreigende tools zo veel moeilijker te analyseren.
