DOUBLEBACK

DOUBLEBACKは、2020年12月に行われた攻撃キャンペーンの一環として展開された新たに発見されたファイルレスマルウェアです。操作を担当する脅威アクターは、研究者によってUNC2529として追跡されています。彼らの調査結果によると、DOUBLEBACKは、侵害されたシステムに配信される最終的なペイロードです。そのタスクは、被害者のマシンにバックドアを確立して維持することです。

より大きなターゲットプールに対応するために、DOUBLEBACKマルウェアは2つのインスタンスとして配信され、実行されるインスタンスは、感染したシステムのアーキテクチャ(32ビットまたは64ビット)によって異なります。バックドアが読み込まれ、前段階のマルウェアであるDOUBLEDROPという名前のドロッパーによって準備されたPowerShellプロセスに挿入されます。その後、脅威はプラグインをロードし、通信ループを確立します。コマンドアンドコントロール(C2、C&C)サーバーに到達し、着信コマンドをフェッチして実行しようとします。

洗練された攻撃キャンペーン

操作の構造と範囲から判断すると、UNC2529は経験と重要なリソースへのアクセスの両方を持っているようです。攻撃者は、医療、軍事製造、自動車、ハイテク電子機器など、さまざまな業界のエンティティを標的にしました。潜在的な被害者は、米国、EMEA(ヨーロッパ、中東、アフリカ)、アジア、オーストラリアなど、いくつかの地理的地域にも広がっていました。

DOUBLEDRAGという名前の初期段階の脅威を配信するために、ハッカーは特定のターゲットに一致するように設計を変更したフィッシングメールに依存していました。電子メールは、会計士の幹部によって送信されるファサードを維持しながら、可能な限り合法的に表示されるように作成されました。リンクが破損していると、対象のユーザーはJavaScriptファイルとペアになっている.PDFファイルに移動します。 PDFは、内容が読めなくなるほど破損します。ターゲットユーザーは、コンテンツに到達しようとして.jsファイルを実行することを余儀なくされ、プロセスでDOUBLEDRAGダウンローダーを誤って実行します。侵害されたデバイスのファイルシステムには、ダウンローダーの脅威のみが存在することに注意してください。その後に配信される他のすべての脅威は、レジストリデータベースでシリアル化されます。

トレンド

最も見られました

読み込んでいます...