Как удалить DOUBLEBACK

DOUBLEBACK - опасный троян-бэкдор, используемый и разрабатываемый неклассифицированным злоумышленником, отслеживаемым под псевдонимом UNC2529. Преступники были вовлечены в крупномасштабную кампанию по борьбе с киберпреступлениями, которая прошла в декабре 2020 года - их цели включали длинный список компаний и организаций по всему миру. Однако большинство их атак было сосредоточено в Соединенных Штатах, и лишь небольшое количество целей было расположено в Европе, Азии, Австралии или Африке.

DOUBLEBACK - это последняя часть многоэтапной кампании атаки, в которой используются три недавно выявленных семейства вредоносных программ - загрузчик DOUBLEDRAG, дроппер DOUBLEDROP и бэкдор DOUBLEBACK, о котором идет речь в этой публикации.

Особенностью DOUBLEBACK является то, что он может работать в безфайловом режиме, оставляя лишь несколько следов своей активности в реестре Windows. Это затрудняет работу исследователей вредоносных программ и автоматизированных средств анализа вредоносных программ, поскольку у них меньше фрагментов вредоносных программ, с которыми нужно работать. К счастью, современное антивирусное программное обеспечение по-прежнему может легко обнаруживать и отражать атаки с использованием бесфайловых вредоносных программ, таких как DOUBLEBACK.

DOUBLEBACK был доставлен в целевые сети с помощью двух семейств вредоносных программ, упомянутых выше. Атака была проведена с помощью фишинговых писем, которые побуждали получателя загрузить и просмотреть вложение файла - обычно файлы были взяты из общедоступных репозиториев, связанных с отраслью цели, что снижает вероятность того, что они заподозрят нечестную игру.

Еще недостаточно данных, чтобы определить конечную цель преступников, стоящих за DOUBLEBACK. Судя по типу вредоносного ПО, которое они используют, скорее всего, их приоритетом является кража данных и шпионаж.