Une campagne de phishing à l’échelle mondiale a ciblé des organisations du monde entier dans un large éventail d’industries avec des souches de logiciels malveillants inédites livrées via des leurres spécialement conçus.

Les attaques ont frappé au moins 50 organisations d’une grande variété d’industries en deux vagues, le 2 décembre et entre les 11 et 18 décembre, selon un rapport de Mandiant publié aujourd’hui.

UNC2529, alors que les chercheurs de Mandiant traquent le groupe de menaces «non catégorisé» derrière cette campagne, a déployé trois nouvelles souches de logiciels malveillants sur les ordinateurs des cibles à l’aide de leurres de phishing personnalisés.

Du téléchargeur à la porte dérobée

Le malware utilisé par UNC2529 dans ces attaques est fortement obscurci pour gêner l’analyse, et il tente d’échapper à la détection en déployant la charge utile en mémoire chaque fois que cela est possible.

« L’acteur de la menace a fait un usage intensif de l’obscurcissement et des logiciels malveillants sans fichier pour compliquer la détection afin de fournir une porte dérobée bien codée et extensible », a déclaré Mandiant.

Tout au long des deux vagues d’attaques, le groupe de menaces a utilisé des e-mails de phishing avec des liens vers un téléchargeur basé sur JavaScript (surnommé DOUBLE DRAG) ou un document Excel avec une macro incorporée qui a téléchargé un dropper basé sur PowerShell en mémoire (appelé DOUBLEDROP) des serveurs de commande et de contrôle (C2) des attaquants.

Le dropper DOUBLEDROP regroupe les instances 32 et 64 bits d’une porte dérobée (nommée DOUBLE RETOUR) implémentée en tant que bibliothèque dynamique PE.

La porte dérobée est injectée dans le processus PowerShell généré par le compte-gouttes. Néanmoins, il est conçu pour tenter ultérieurement de s’injecter dans un processus Windows Installer (msiexec.exe) nouvellement créé si le moteur antivirus de Bitdefender ne fonctionne pas sur l’ordinateur compromis.

Dans l’étape suivante, la porte dérobée DOUBLEBACK charge son plugin et atteint le serveur C2 dans une boucle pour récupérer les commandes à exécuter sur le périphérique infecté.

« Un fait intéressant à propos de l’ensemble de l’écosystème est que seul le téléchargeur existe dans le fichier …