DOPPELTRAG

DOPPELTRAG-Beschreibung

Eine ausgeklügelte Angriffskampagne, die sich an eine vielfältige Gruppe von Unternehmen aus verschiedenen Branchen und einer Vielzahl unterschiedlicher Regionen richtete, wurde von Malware-Forschern aufgedeckt. Ihren Erkenntnissen zufolge startete ein nicht identifizierter Bedrohungsakteur (UNC2529) bereits im Dezember 2020 zwei unterschiedliche Angriffswellen. Unter den potenziellen Opfern befanden sich Unternehmen aus der Medizin-, Automobil-, Elektronik- und Militärindustrie. Es scheint, dass die Hauptregion, auf die die Hacker abzielten, die USA waren, gefolgt von EMEA (Europa, Mittlerer Osten und Afrika), bestimmten Teilen Asiens und Australiens.

Während des Vorgangs wurden drei separate, nie zuvor gesehene Malware-Stämme verwendet, die als DOUBLEDRAG, DOUBLEDROP und DOUBLEBACK bezeichnet wurden und jeweils eine bestimmte Aufgabe in der Angriffskette ausführten. Als ersten Kompromissvektor stützte sich der Bedrohungsakteur auf Phishing-E-Mails, die auf die jeweilige Zielorganisation zugeschnitten waren. Im Allgemeinen gaben die Hacker vor, Buchhalter zu sein, die Dienstleistungen anbieten, die für eine Vielzahl unterschiedlicher Branchen geeignet sind. Die verlockenden E-Mails lieferten die erste Malware-Bedrohung in der Angriffskette - einen Downloader namens DOUBLEDRAG.

Der DOUBLEDRAG Downloader

DOUBLEDRAG ist der einzige der drei von den UNC2529-Hackern bereitgestellten Malware-Stämme, der nicht ohne Dateien ist. Es ist entweder in stark verschleierten JavaScript-Dateien oder in Excel-Dokumenten mit eingebetteten Makros versteckt. Die .js-Dateien wurden mit stark beschädigten .PDF-Dokumenten gepaart. Es wird angenommen, dass das Ziel darin bestand, die frustrierten Benutzer dazu zu bringen, die schädlichen JavaScript-Dateien auszuführen, um den verschlüsselten Inhalt der PDFs zu lesen.

Die DOUBLEDRAG-Malware verfügt über keine zusätzlichen Funktionen. Es handelt sich um eine optimierte Bedrohung, die für einen bestimmten Zweck entwickelt wurde - das Abrufen und Initiieren der Nutzlast der nächsten Stufe, der DOUBLEDROP-Pipette.

Die Mandiant-Forscher geben an, dass die Analyse der UNC2529-Kampagne und der damit verbundenen Malware-Stämme noch nicht abgeschlossen ist. Die Hacker implementierten signifikante Verschleierungs- und In-Memory-Techniken, um Versuche, die bedrohlichen Tools zu analysieren, erheblich zu erschweren.