Serpent Backdoor Trojan
Eksperci ds. cyberbezpieczeństwa odkryli kampanię wysoce ukierunkowanych ataków na francuskie firmy działające w sektorach nieruchomości, budownictwa i rządu. Zagrażające operacje ostatecznie doprowadziły do wdrożenia nieznanego wcześniej zagrożenia typu backdoor o nazwie trojan Serpent Backdoor. Szczegółowe informacje na temat złośliwego oprogramowania i łańcucha ataków zostały opublikowane w raporcie opracowanym przez badaczy bezpieczeństwa.
Cele cyberprzestępców pozostają nieznane, ale Serpent Backdoor może wykonywać różne natrętne działania na złamanych maszynach. Trojan zapewnia zdalny dostęp do urządzenia, kontaktuje się z serwerem Command-and-Control (C2, C&C) i może otrzymać polecenie dokonania kradzieży danych lub dostarczenia dodatkowych, uszkodzonych ładunków.
Złożony łańcuch ataków
Zgodnie z ustaleniami naukowców, Serpent Backdoor został dostarczony do docelowych systemów jako ostatni krok w łańcuchu ataków, który obejmował kilka nowych lub rzadko używanych technik. Po pierwsze, osoby atakujące rozpowszechniały wśród niczego niepodejrzewających ofiar e-maile z przynętą podszywające się pod CV lub dokumenty związane z RODO (ogólne przepisy UE o ochronie danych). E-maile zawierały dokument Microsoft Word-przynętę z zainfekowanymi makrami.
Otwarcie dokumentu uruchamia makro, które prowadzi do uzyskania zakodowanego w base64 skryptu PowerShell. Skrypt jest wstrzykiwany do obrazu za pomocą steganografii. Skrypt PowerShell pobiera, instaluje i aktualizuje pakiet instalatora Chocolatey. Po raz pierwszy badacze zaobserwowali użycie legalnego narzędzia do automatyzacji zarządzania oprogramowaniem Chocolatey w ramach kampanii ataku.
Chocolatey służy do instalowania Pythona na urządzeniu, w tym instalatora pakietu pip. Z kolei jego zadaniem jest zainstalowanie licznych zależności, takich jak PySocks, który pozwala użytkownikom kierować ruch przez serwery proxy SOCKS i HTTP. Kolejny krok, po raz kolejny, polega na wyodrębnieniu danych ukrytych w obrazie za pomocą steganografii. Tym razem skrypt Pythona jest wyodrębniany, a następnie zapisywany na komputerze ofiary jako MicrosoftSecurityUpdate.py. Łańcuch ataków zostaje zakończony po wykonaniu polecenia wskazującego na skrócony adres URL prowadzący do witryny pomocy Microsoft Office.
