Sådan fjernes DOUBLEBACK

DOUBLEBACK er en farlig bagdør-trojan, der bruges og udvikles af en ukategoriseret trusselsaktør, der spores under aliaset UNC2529. Kriminelle var involveret i en omfattende cyberkriminalitetskampagne, der fandt sted i december 2020 - deres mål omfattede en lang liste over virksomheder og organisationer spredt over hele verden. Imidlertid var størstedelen af deres angreb koncentreret i USA, og kun et lille antal mål var beliggende i Europa, Asien, Australien eller Afrika.

DOUBLEBACK er det sidste stykke af en flertrins angrebskampagne, der udnytter tre nyligt identificerede malware-familier - DOUBLEDRAG Downloader, DOUBLEDROP Dropper og DOUBLEBACK Backdoor, der er genstand for dette indlæg.

Hvad der er specielt ved DOUBLEBACK er, at det er i stand til at fungere i fileløs tilstand og kun efterlader et par spor af dets aktivitet i Windows-registreringsdatabasen. Dette gør jobet for malware-forskere og automatiserede malware-analyseværktøjer vanskeligere, da de har færre malware-fragmenter at arbejde med. Heldigvis er moderne antivirussoftware stadig i stand til let at opdage og afskrække angreb, der involverer fileløs malware som DOUBLEBACK.

DOUBLEBACK blev leveret til målrettede netværk gennem hjælp fra de to ovennævnte malware-familier. Angrebet blev udført ved hjælp af phishing-e-mails, som opfordrede modtageren til at downloade og gennemgå en vedhæftet fil - normalt blev filerne hentet fra offentlige arkiver tilknyttet målindustrien, hvilket gør det mindre sandsynligt, at de vil mistanke om fejlspil.

Der er ikke indsamlet nok data endnu til at bestemme det ultimative mål for de kriminelle bag DOUBLEBACK. At dømme efter den type malware, de bruger, er det sandsynligt, at deres prioritet er datatyveri og spionage.