DOUBLEBACK

Von Mezo in Backdoors, Malware

Übersetzen Sie in:

DOUBLEBACK ist eine neu entdeckte fileless Malware, die im Rahmen einer Angriffskampagne im Dezember 2020 eingesetzt wurde. Die für die Operationen verantwortlichen Bedrohungsakteure werden von Forschern als UNC2529 verfolgt. Nach ihren Erkenntnissen ist DOUBLEBACK die endgültige Nutzlast, die auf die gefährdeten Systeme geliefert wird. Seine Aufgabe ist es, eine Hintertür auf dem Computer des Opfers einzurichten und zu warten.

Um einen größeren Pool von Zielen aufzunehmen, wird die DOUBLEBACK-Malware als zwei Instanzen bereitgestellt, und die ausgeführte Instanz hängt von der Architektur des infizierten Systems ab - entweder 32 oder 64-Bit. Die Hintertür wird geladen und in einen PowerShell-Prozess eingefügt, der von der Malware der vorherigen Stufe, einem Dropper namens DOUBLEDROP, vorbereitet wurde. Danach lädt die Bedrohung ihre Plugins und baut eine Kommunikationsschleife auf. Es versucht, seine Command-and-Control-Server (C2, C & C) zu erreichen, eingehende Befehle abzurufen und auszuführen.

Die ausgefeilte Angriffskampagne

Gemessen an der Struktur und dem Umfang der Operation scheint UNC2529 sowohl Erfahrung als auch Zugang zu bedeutenden Ressourcen zu haben. Die Bedrohungsakteure richteten sich gegen Unternehmen aus einer Vielzahl von Branchen wie Medizin, Militär, Automobilindustrie und High-Tech-Elektronik. Die potenziellen Opfer verteilten sich auch auf mehrere geografische Regionen, darunter die USA, EMEA (Europa, Mittlerer Osten und Afrika), Asien und Australien.

Um die Bedrohung im Anfangsstadium mit dem Namen DOUBLEDRAG zu liefern, verließen sich die Hacker auf Phishing-E-Mails, deren Design dem jeweiligen Ziel entsprach. Die E-Mails wurden so legitim wie möglich gestaltet, während eine Fassade beibehalten wurde, die von einem Buchhalter gesendet wurde. Beschädigte Links würden den Zielbenutzer zu einer PDF-Datei führen, die mit einer JavaScript-Datei gepaart ist. Die PDFs würden so stark beschädigt, dass ihr Inhalt nicht mehr lesbar wäre. Der Zielbenutzer würde dann gezwungen sein, die .js-Datei auszuführen, um den Inhalt zu erreichen, und dabei versehentlich den DOUBLEDRAG-Downloader ausführen. Es ist zu beachten, dass nur die Downloader-Bedrohung im Dateisystem des gefährdeten Geräts vorhanden ist. Alle anderen später ausgelieferten Bedrohungen werden in der Registrierungsdatenbank serialisiert.

Suche

Region ändern

DOUBLEBACK

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...