الثعبان مستتر طروادة

كشف خبراء الأمن السيبراني عن حملة هجوم شديدة الاستهداف ضد الشركات الفرنسية العاملة في قطاعات العقارات والبناء والحكومة. في نهاية المطاف ، نشرت عمليات التهديد تهديدًا خلفيًا غير معروف سابقًا يسمى Serpent Backdoor Trojan. تم نشر تفاصيل حول البرنامج الضار وسلسلة الهجوم في تقرير صادر عن باحثين أمنيين.

تظل أهداف الجهات المهددة غير معروفة ، لكن يمكن لـ Serpent Backdoor تنفيذ إجراءات تدخلية مختلفة على الأجهزة المخترقة. يوفر حصان طروادة وصولاً بعيدًا إلى الجهاز ، ويتصل بخادم الأوامر والتحكم (C2 ، C&C) ، ويمكن توجيهه لتنفيذ سرقة البيانات أو تقديم حمولات تالفة إضافية.

سلسلة هجوم معقدة

وفقًا لنتائج الباحثين ، تم تسليم Serpent Backdoor للأنظمة المستهدفة كخطوة أخيرة في سلسلة هجوم تتضمن العديد من التقنيات الجديدة أو التي نادرًا ما تستخدم. أولاً ، نشر المهاجمون رسائل البريد الإلكتروني المغرية للضحايا المطمئنين على أنها سيرة ذاتية للوظائف أو وثائق متعلقة باللائحة العامة لحماية البيانات (اللوائح العامة لحماية البيانات في الاتحاد الأوروبي). احتوت رسائل البريد الإلكتروني على مستند Microsoft Word للطعم مع وحدات ماكرو مخترقة.

يؤدي فتح المستند إلى تشغيل الماكرو ، والذي يستمر في الحصول على نص برمجي PowerShell بتشفير base64. يتم حقن النص في صورة عن طريق إخفاء المعلومات. يقوم البرنامج النصي PowerShell بجلب حزمة مثبت Chocolatey وتثبيتها وتحديثها. هذه هي المرة الأولى التي يلاحظ فيها الباحثون استخدام أداة أتمتة إدارة البرامج المشروعة Chocolatey كجزء من حملة هجوم.

يستخدم Chocolatey لتثبيت Python على الجهاز ، بما في ذلك مثبت حزمة pip. في المقابل ، تتمثل مهمتها في تثبيت العديد من التبعيات ، مثل PySocks ، والتي تسمح للمستخدمين بتحويل حركة المرور عبر خوادم بروكسي SOCKS و HTTP. تتضمن الخطوة التالية ، مرة أخرى ، استخراج البيانات المخفية في الصورة عن طريق إخفاء المعلومات. هذه المرة ، يتم استخراج نص Python ثم حفظه على جهاز الضحية باسم MicrosoftSecurityUpdate.py. تكتمل سلسلة الهجوم بعد تنفيذ أمر يشير إلى عنوان URL مختصر يؤدي إلى موقع تعليمات Microsoft Office.