DOUBLEDROP
これまでに見たことのない3つのマルウェアツールを含む新しい攻撃キャンペーンがセキュリティ研究者によって検出されました。作戦は2020年12月に行われ、2つの異なる活動の波で構成されていました。使用されているインフラストラクチャとマルウェアの脅威は、攻撃者が十分なリソースの経験とアクセスの両方を持っていることを示しています。研究者たちはハッカーをUNC2529と指定し、3つの脅威株はDOUBLEDRAG 、DOUBLEDROP、DOUBLEBACKと呼ばれていました。
攻撃キャンペーンには、特定の被害者それぞれに一致するように調整されたフィッシングメールの配布が含まれていました。対象となる事業体は、軍事製造、ハイテクエレクトロニクス、医療、自動車など、複数の業界から来ました。ほとんどが米国にありましたが、潜在的な被害者はEMEA地域(ヨーロッパ、中東、アフリカ)、アジア、オーストラリアでも検出されました。餌の電子メールは、被害者の業務に関連するサービスを提供する経理担当役員によって送信されているように見えるように設計されています。
DOUBLEDROP機能
DOUBLEDROPマルウェアは、侵害されたシステムへの最終的なDOUBLEBACKバックドアペイロードのフェッチと実行を担当する中間段階のツールとして機能しました。これは、メモリ内で動作する難読化されたPowerShellスクリプトで構成されています。次のステージのバックドアツールの2つのインスタンスがバンドルされており、感染したシステムが32ビットアーキテクチャで実行されているか64ビットアーキテクチャで実行されているかによって実行されます。 DOUBLEDROPとDOUBLEBACKはどちらも被害者のファイルシステムに存在せず、代わりにレジストリデータベースでシリアル化されます。
