DOUBLEDROP

Eine neue Angriffskampagne mit drei nie zuvor gesehenen Malware-Tools wurde von Sicherheitsforschern entdeckt. Die Operationen fanden im Dezember 2020 statt und bestanden aus zwei unterschiedlichen Aktivitätswellen. Die verwendeten Infrastruktur- und Malware-Bedrohungen zeigen, dass die Bedrohungsakteure sowohl Erfahrung als auch Zugriff auf ausreichende Ressourcen haben. Die Forscher bezeichneten die Hacker als UNC2529, während die drei bedrohlichen Stämme DOUBLEDRAG, DOUBLEDROP und DOUBLEBACK genannt wurden.

Die Angriffskampagne beinhaltete die Verbreitung von Phishing-E-Mails, die auf jedes Opfer zugeschnitten waren. Die Zielgruppen kamen aus verschiedenen Branchen - Militärindustrie, Hightech-Elektronik, Medizin und Automobil. Während sich die meisten in den USA befanden, wurden potenzielle Opfer auch in der EMEA-Region (Europa, Mittlerer Osten und Afrika), Asien und Australien entdeckt. Die Köder-E-Mails wurden so gestaltet, als würden sie von einem Buchhalter gesendet, der Dienstleistungen im Zusammenhang mit den Operationen des Opfers anbietet.

Die DOUBLEDROP-Funktionalität

Die DOUBLEDROP-Malware fungierte als Mittelstufe-Tool, das für das Abrufen und Ausführen der endgültigen DOUBLEBACK-Backdoor-Nutzdaten auf dem gefährdeten System verantwortlich war. Es besteht aus einem verschleierten PowerShell-Skript, das im Speicher ausgeführt wird. Es wird mit zwei Instanzen des Backdoor-Tools der nächsten Stufe gebündelt, wobei die Ausführung davon abhängt, ob das infizierte System auf einer 32- oder 64-Bit-Architektur ausgeführt wird. Sowohl DOUBLEDROP als auch DOUBLEBACK sind im Dateisystem des Opfers nicht vorhanden und werden stattdessen in der Registrierungsdatenbank serialisiert.