DOUBLEDRAGを削除する方法
DOUBLEDRAGマルウェアは、世界中に広がる複数の業界を対象とした大規模な攻撃キャンペーンで最初に発見されました。攻撃の大部分は米国に集中していましたが、作戦の背後にいる未知の犯罪者も、ヨーロッパ、アフリカ、および中東の著名な組織を追跡しました。 DOUBLEDRAGキャンペーンを現在アクティブなAdvancedPersistent Threat(APT)アクターの1つと結び付けるのに十分な情報がありません。匿名の加害者は、最初に操作を分析した研究所によって一般にUNC2529と呼ばれています。
DOUBLEDRAGは、攻撃で使用される他のマルウェア(DOUBLEDROPおよびDOUBLEBACK)を展開するために使用されているダウンローダーの目的を果たします。 DOUBLEDRAGは配信される最初の段階のペイロードであり、被害者は通常、巧妙に作成されたスピアフィッシングメールを介してそれを受信しました。犯罪者は、悪意のあるコードを含むように変更された、正当な公開PDFおよびXLSファイルを使用するようにしました。また、受信者が偽のメッセージを正当なメッセージと簡単に間違えることがないように、すべての被害者に固有の電子メールテンプレートを作成しました。
DOUBLEDRAGが組み込まれたドキュメントを開くと、悪意のあるスクリプトを実行して脅威を展開します。興味深いことに、DOUBLEDORPおよびDOUBLEBACKマルウェアはシステムのメモリから動作しますが、DOUBLEDRAGはハードドライブにフットプリントを残します。 DOUBLEDRAGの目的は、DOUBLEDROPドロッパーを展開することです。これにより、DOUBLEBACKバックドアが隠されて実行されます。
このキャンペーンのこのピークアクティビティは2020年12月中旬に登録されましたが、その背後にいる犯罪者が次の大規模な攻撃に取り組んでいる可能性が非常に高いです。これまでのところ、最終目標が何であるかを示す指標はありません。 UNC2529はスパイ活動とデータ盗難を専門としている可能性があります。