Numerosas organizaciones de todo el mundo han sido blanco de una campaña de phishing generalizada que utilizó señuelos de phishing personalizados y malware sofisticado, según un nuevo informe del equipo de investigación de amenazas mandiant de FireEye.
La campaña, que Mandiant rastrea como UNC2529, golpeó al menos a 50 organizaciones de una amplia variedad de industrias en dos oleadas, el 2 y entre el 11 y el 18 de diciembre. Durante los ataques, el actor de amenazas desplegó tres nuevas cepas de malware que los investigadores apodaron DOUBLEDRAG, DOUBLEDROP y DOUBLEBACK.
"Antes de la segunda ola, observada entre el 11 de diciembre y el 18 de diciembre de 2020, unC2529 secuestró un dominio legítimo propiedad de una empresa estadounidense de servicios de calefacción y refrigeración, modificó las entradas DNS y aprovechó esa infraestructura para suplantar al menos a 22 organizaciones, cinco de las cuales también fueron blanco de ataques en la primera ola. Actualmente no se sabe cómo se vio comprometido el dominio legítimo. El actor de amenazas utilizó 20 dominios recién observados para alojar la carga útil de la segunda etapa", se lee en el informe.
Los ataques involucraban correos electrónicos de phishing especialmente personalizados que contenían un enlace para descargar una carga maliciosa con un descargador de JavaScript ofuscado (DOUBLEDRAG). Una vez ejecutado, el descargador establecería una conexión a su servidor de comando y control y descargaría DOUBLEDROP, un cuentagotas solo memoria. Se implementa como un script de PowerShell que contiene instancias de 32 y 64 bits de la puerta trasera DOUBLEBACK. A continuación, el cuentagotas realizaría la configuración inicial para lograr la persistencia de la puerta trasera en el sistema comprometido e insertar la puerta trasera en su propio proceso (PowerShell.exe) y, a continuación, ejecutarla.
"La puerta trasera, una vez que tiene el control de ejecución, carga sus plugins y luego entra en un bucle de comunicación, recuperando comandos de su servidor C2 y despachándolos. Un dato interesante de todo el ecosistema es que sólo el descargador existe en el sistema de archivos. El resto de los componentes se serializan en la base de datos del registro, lo que hace que su detección sea algo más difícil, especialmente por los motores antivirus basados en archivos", explicaron los investigadores.
La campaña de phishing del UNC2529 se dirigió a una variedad de industrias en varias regiones, incluyendo los Estados Unidos, Europa, Oriente Medio, África, Asia y Australia, con el foco principal en las organizaciones de las industrias financiera, aeroespacial y de servicios empresariales.
"UnC empleó considerables recursos para llevar a cabo su campaña de phishing de diciembre. Casi 50 dominios apoyaron varias fases del esfuerzo, se investigaron objetivos y se comprometió un dominio legítimo de terceros. El actor de amenazas hizo un uso extensivo de ofuscación y malware sin archivos para complicar la detección para entregar una puerta trasera bien codificada y extensible. Unc2529 se evalúa como capaz, profesional y bien dotado de recursos. Los objetivos identificados de amplio alcance, a través de la geografía y la industria sugieren un motivo de crimen financiero", concluyó Mandiant.
