Группировка UNC2529 атаковала фишинговыми письмами около 50 организаций по всему миру.
https://www.securitylab.ru/upload/ib...5340a3b70d.jpg
Преступники организовали масштабную фишинговую кампанию против организаций из самых разных отраслей в странах по всему миру с использованием новых видов вредоносных программ. По словам специалистов из компании Mandiant, атаки затронули не менее 50 организаций и проходили в два этапа — 2 декабря и с 11 по 18 декабря прошлого года.
Группировка UNC2529, стоящая за этой кампанией, с помощью специальных фишинговых приманок заражала компьютеры жертв тремя новыми вредоносными программами.
«Злоумышленники использовали методы обфускации и бесфайловые вредоносные программы, чтобы усложнить обнаружение и создать хорошо закодированный и расширяемый бэкдор», — пояснили эксперты.
В ходе атак группировка использовала фишинговые электронные письма со ссылками на JavaScript-загрузчик (получивший название DOUBLEDRAG) или документ Microsoft Excel со встроенным макросом, который устанавливал загрузчик на основе PowerShell (DOUBLEDROP) с C&C-сервера злоумышленников. После запуска DOUBLEDRAG обращается к C&C-серверу и устанавливает загрузчик в память системы. DOUBLEDROP реализован в виде PowerShell-скрипта, который содержит как 32-битные, так и 64-битные экземпляры бэкдора DOUBLEBACK. Загрузчик выполняет начальную настройку и обеспечивает персистентность бэкдора на скомпрометированной системе.
Бэкдор внедряется в PowerShell-процесс загрузчика и позже попытается внедрить себя во вновь созданный процесс установщика Windows (msiexec.exe), если антивирусное ядро ​​Bitdefender не запущено на скомпрометированном компьютере. На следующем этапе бэкдор DOUBLEBACK загружает плагин и обращается к C&C-серверу в ожидании команд.
«Интересный факт об инфраструктуре вредоноса заключается в том, что в файловой системе существует только загрузчик. Остальные компоненты сериализованы в базе данных реестра, что несколько затрудняет их обнаружение, особенно файловыми антивирусными механизмами», — отметили эксперты.
UNC2529 в рамках фишинговой кампании задействовала примерно 50 доменов. Письма отправлялись якобы от имени руководителей компаний и были нацелены на медицинскую промышленность, производителей высокотехнологичной электроники, автомобилей и военного оборудования, а также на оборонного подрядчика. Хотя основной целью киберпреступников были компании в США, атаке также подверглись организации из EMEA (Европа, Ближний Восток и Африка), Азии и Австралии.