DOUBLEDROP

Description de DOUBLEDROP

Une nouvelle campagne d'attaque impliquant trois outils malveillants inédits a été détectée par des chercheurs en sécurité. Les opérations ont eu lieu en décembre 2020 et ont consisté en deux vagues d'activités distinctes. L'infrastructure utilisée et les menaces de logiciels malveillants montrent que les acteurs de la menace ont à la fois une expérience et un accès à des ressources suffisantes. Les chercheurs ont désigné les pirates comme UNC2529 tandis que les trois souches menaçantes ont été surnommées DOUBLEDRAG, DOUBLEDROP et DOUBLEBACK.

La campagne d'attaque impliquait la diffusion d'e-mails de phishing adaptés à chaque victime spécifique. Les entités ciblées provenaient de plusieurs secteurs verticaux - fabrication militaire, électronique de haute technologie, médecine et automobile. Si la plupart se trouvaient aux États-Unis, des victimes potentielles ont également été détectées dans la région EMEA (Europe, Moyen-Orient et Afrique), en Asie et en Australie. Les e-mails d'appât ont été conçus pour donner l'impression d'être envoyés par un responsable comptable offrant des services liés aux opérations de la victime.

La fonctionnalité DOUBLEDROP

Le malware DOUBLEDROP a agi comme un outil intermédiaire chargé de récupérer et d'exécuter la charge utile finale de la porte dérobée DOUBLEBACK sur le système compromis. Il se compose d'un script PowerShell obscurci qui fonctionne dans la mémoire. Il est livré avec deux instances de l'outil de porte dérobée de la prochaine étape, celle qui est exécutée selon que le système infecté fonctionne sur une architecture 32 ou 64 bits. DOUBLEDROP et DOUBLEBACK n'existent pas dans le système de fichiers de la victime et sont à la place sérialisés dans la base de données du registre.