DOUBLEDRAG
マルウェアの研究者は、さまざまな業界や多数の地域のさまざまな企業グループを標的とした高度な攻撃キャンペーンを発見しました。彼らの調査結果によると、正体不明の脅威アクター(UNC2529として追跡)は2020年12月に2つの異なる攻撃波を開始しました。潜在的な被害者の中には、医療、自動車、電子機器、および軍事製造業界で活動するエンティティが含まれていました。ハッカーの標的となった主な地域は米国であり、EMEA(ヨーロッパ、中東、アフリカ)、アジアとオーストラリアの特定の地域がそれに続いたようです。
DOUBLEDRAG、DOUBLEDROP、およびDOUBLEBACKと呼ばれる3つの別個のこれまでに見られなかったマルウェア株が操作で使用され、それぞれが攻撃チェーンで別個のタスクを実行しました。最初の侵害ベクトルとして、攻撃者は、対象となる各組織に一致するように調整されたフィッシングメールに依存していました。一般に、ハッカーはさまざまな業界に適したサービスを提供する会計士の幹部のふりをしていました。誘惑する電子メールは、攻撃チェーンの最初のマルウェアの脅威であるDOUBLEDRAGという名前のダウンローダーを落としました。
DOUBLEDRAGダウンローダー
DOUBLEDRAGは、UNC2529ハッカーによって展開された3つのマルウェア株のうち、ファイルレスではない唯一のマルウェアです。非常に難読化されたJavaScriptファイルまたはマクロが埋め込まれたExcelドキュメントの内部に隠されています。 .jsファイルは、ひどく破損した.PDFドキュメントとペアになっています。目標は、欲求不満のユーザーがPDFのスクランブルされたコンテンツを読み取ろうとして、悪意のあるJavaScriptファイルを実行するように導くことであったと考えられています。
DOUBLEDRAGマルウェアには、外部機能は搭載されていません。これは、次の段階のペイロードであるDOUBLEDROPドロッパーをフェッチして開始するという単一の目的のために設計された合理化された脅威です。
Mandiantの研究者は、UNC2529キャンペーンとそれに関連するマルウェア株の分析はまだ進行中であると述べています。ハッカーは、脅威となるツールの分析をさらに困難にするために、重要な難読化とメモリ内の手法を実装しました。
