В ходе масштабной фишинговой кампании использовались три новых вредоноса
06/05/21

«Злоумышленники использовали методы обфускации и бесфайловые вредоносные программы, чтобы усложнить обнаружение и создать хорошо закодированный и расширяемый бэкдор», — пояснили эксперты.
В ходе атак группировка использовала фишинговые электронные письма со ссылками на JavaScript-загрузчик (получивший название DOUBLEDRAG) или документ Microsoft Excel со встроенным макросом, который устанавливал загрузчик на основе PowerShell (DOUBLEDROP) с C&C-сервера злоумышленников. После запуска DOUBLEDRAG обращается к C&C-серверу и устанавливает загрузчик в память системы. DOUBLEDROP реализован в виде PowerShell-скрипта, который содержит как 32-битные, так и 64-битные экземпляры бэкдора DOUBLEBACK. Загрузчик выполняет начальную настройку и обеспечивает персистентность бэкдора на скомпрометированной системе.
Бэкдор внедряется в PowerShell-процесс загрузчика и позже попытается внедрить себя во вновь созданный процесс установщика Windows (msiexec.exe), если антивирусное ядро Bitdefender не запущено на скомпрометированном компьютере. На следующем этапе бэкдор DOUBLEBACK загружает плагин и обращается к C&C-серверу в ожидании команд.
«Интересный факт об инфраструктуре вредоноса заключается в том, что в файловой системе существует только загрузчик. Остальные компоненты сериализованы в базе данных реестра, что несколько затрудняет их обнаружение, особенно файловыми антивирусными механизмами», — отметили эксперты.
UNC2529 в рамках фишинговой кампании задействовала примерно 50 доменов. Письма отправлялись якобы от имени руководителей компаний и были нацелены на медицинскую промышленность, производителей высокотехнологичной электроники, автомобилей и военного оборудования, а также на оборонного подрядчика. Хотя основной целью киберпреступников были компании в США, атаке также подверглись организации из EMEA (Европа, Ближний Восток и Африка), Азии и Австралии.