Sådan fjernes DOUBLEDRAG

DOUBLEDRAG Malware blev først set i en storstilet angrebskampagne, der var målrettet mod flere industrier, spredt over hele verden. Mens størstedelen af angrebene var koncentreret i USA, gik de ukendte kriminelle bag operationen også efter højt profilerede organisationer i Europa, Afrika og Mellemøsten. Der er ikke nok information til at forbinde DOUBLEDRAG-kampagnen med en af de aktuelt aktive Advanced Persistent Threat (APT) aktører - de anonyme gerningsmænd kaldes almindeligvis UNC2529 af forskningslaboratoriet, der først dissekerede deres operation.

DOUBLEDRAG opfylder formålet med en downloader, der bruges til at implementere anden malware, der bruges i angrebene - DOUBLEDROP og DOUBLEBACK. DOUBLEDRAG er den første trins nyttelast, der skal leveres, og ofre modtog normalt den via en smart udformet spydfishing-e-mail. Kriminelle sørgede for at bruge legitime, offentlige PDF- og XLS-filer, der blev ændret til at omfatte et ondsindet stykke kode. De lavede også unikke e-mail-skabeloner til hvert offer for at sikre, at modtageren let forveksler den falske besked som en legitim.

Når det DOUBLEDRAG-laced dokument er åbnet, vil det udføre det ondsindede script for at implementere truslen. Interessant nok fungerer DOUBLEDORP og DOUBLEBACK Malware fra systemets hukommelse, mens DOUBLEDRAG efterlader et fodaftryk på harddisken. DOUBLEDRAGs formål er at implementere DOUBLEDROP Dropper, som derefter fortsætter med at skjule og køre DOUBLEBACK Backdoor.

Denne topaktivitet i denne kampagne blev registreret i midten af december 2020, men det er meget sandsynligt, at de kriminelle bag den arbejder på deres næste store angreb - indtil videre er der ingen indikator for, hvad deres endelige mål kunne være, men det er sandsynligt, at UNC2529 er specialiseret i spionage og datatyveri.