Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.
Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.
UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.
Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.
Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).
Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.
Selengkapnya: Bleeping Computer
Leave a Reply