DOUBLE DRAG

Description de DOUBLE DRAG

Une campagne d'attaque sophistiquée qui ciblait un groupe diversifié d'entreprises de différents secteurs verticaux et une multitude de régions différentes a été découverte par des chercheurs en malwares. Selon leurs conclusions, un acteur de la menace non identifié (suivi comme UNC2529) a lancé deux vagues d'attaques distinctes en décembre 2020. Parmi les victimes potentielles figuraient des entités opérant dans les industries médicale, automobile, électronique et de fabrication militaire. Il semble que la principale région ciblée par les hackers ait été les États-Unis, suivis de la zone EMEA (Europe, Moyen-Orient et Afrique), certaines régions d'Asie et d'Australie.

Trois souches de logiciels malveillants inédites, appelées DOUBLEDRAG, DOUBLEDROP et DOUBLEBACK, ont été utilisées dans l'opération, chacune effectuant une tâche distincte dans la chaîne d'attaque. En tant que vecteur de compromis initial, l'acteur de la menace s'est appuyé sur des e-mails de phishing adaptés à chaque organisation ciblée. En général, les pirates se faisaient passer pour des cadres comptables offrant des services adaptés à une variété de secteurs industriels différents. Les e-mails de leurre ont laissé tomber la première menace de malware dans la chaîne d'attaque - un téléchargeur nommé DOUBLEDRAG.

Le téléchargeur DOUBLEDRAG

DOUBLEDRAG est la seule des trois souches de logiciels malveillants déployées par les pirates UNC2529 qui ne soit pas sans fichier. Il est caché dans des fichiers JavaScript fortement obscurcis ou des documents Excel avec des macros intégrées. Les fichiers .js étaient associés à des documents .PDF fortement corrompus. On pense que l'objectif était d'amener les utilisateurs frustrés à exécuter les fichiers JavaScript malveillants dans le but de lire le contenu brouillé des PDF.

Le malware DOUBLEDRAG n'est pas équipé de capacités superflues. Il s'agit d'une menace simplifiée conçue dans un but unique: récupérer et lancer la charge utile de l'étape suivante, le compte-gouttes DOUBLEDROP.

Les chercheurs de Mandiant affirment que l'analyse de la campagne UNC2529 et des souches de logiciels malveillants qui y sont impliquées est toujours en cours. Les pirates ont mis en œuvre d'importantes techniques d'obscurcissement et de mémoire pour tenter d'analyser les outils menaçants d'autant plus difficiles.