FireEye ha scoperto una campagna di phishing globale che sta prendendo di mira numerose organizzazioni mondiali in una vasta gamma di settori attraverso la diffusione di tre malware differenti e sofisticati.
L’unità Mandiant di FireEye ha osservato due distinte ondate di attacchi effettuati dal gruppo criminale: la prima è avvenuta all’inizio di dicembre 2020 e la seconda a fine mese.
Le tre nuove famiglie di malware impiegate negli attacchi sono tracciate come DOUBLEDRAG, DOUBLEDROP e DOUBLEBACK.
Gli attori della minaccia hanno utilizzato 26 indirizzi diversi per poter inviare le e-mail fraudolente, all’interno delle quali era presente un link collegato a un file ZIP che conteneva compresso un PDF.
I messaggi di phishing includono collegamenti a un sito Web dannoso che serve il malware e le e-mail hanno righe dell’oggetto personalizzate per ciascuna organizzazione mirata.
L’analisi dei ceppi di malware coinvolti negli attacchi ha rivelato che DOUBLEDRAG è un payload di primo stadio utilizzato per scaricare minacce aggiuntive.
Dopo essere stato eseguito, DOUBLEDRAG si connetterà a un server C&C e recupererà lo script di PowerShell DOUBLEDROP, un dropper di sola memoria che distribuisce la backdoor DOUBLEBACK. Una volta aperto il PDF, il dropper DOUBLEDROP viene scaricato in memoria e uno script PowerShell esegue la backdoor DOUBLEBACK.
Nella seconda ondata della campagna phishing, gli attori delle minacce hanno invece sostituito il file PDF con file Excel come arma come downloader.
Gli esperti fanno notare che nel file system del sistema operativo è possibile rilevare solo il downloader DOUBLEDRAG mentre il dropper e la backdoor sono solo nella RAM. Ciò significa che un antivirus che analizza i file non potrà individuare i malware che passeranno quindi inosservati.
Inoltre, gli esperti hanno sottolineato che gli aggressori hanno fatto ampio uso di offuscamento e malware senza file per eludere il rilevamento.
La backdoor impiegata nell’attacco si mostra molto sofisticata ed è progettata per estenderne le capacità.
La prima ondata di attacchi ha riguardato 28 organizzazioni, mentre almeno altre 22 entità sono state colpite nella seconda ondata, la maggior parte delle quali negli Stati Uniti.
Il gruppo ha preso di mira organizzazioni nei settori dei servizi alle imprese, finanziario, sanitario, vendita al dettaglio / consumatori, aeromobili, ingegneria e produzione, governo, istruzione, trasporti e servizi di pubblica utilità.
“Al momento del rapporto, sebbene Mandiant non abbia prove sugli scopi degli attacchi, l’ampio targeting in più settori e la scelta di obiettivi su scala globale, suggerisce che gli aggressori potrebbero essere finanziariamente motivati”.
https://securityaffairs.co/wordpress/117550/cyber-crime/unc2529-cybercrime-gang.html
