Serpent Backdoor Троянски кон

Експерти по киберсигурност разкриха силно насочена кампания за атака срещу френски компании, работещи в сектора на недвижимите имоти, строителството и държавния сектор. Заплашващите операции в крайна сметка разгърнаха неизвестна по-рано заплаха от задна врата, наречена Serpent Backdoor Trojan. Подробности за злонамерения софтуер и веригата за атака бяха публикувани в доклад от изследователи по сигурността.

Целите на участниците в заплахата остават неизвестни, но Serpent Backdoor може да извършва различни натрапчиви действия върху пробитите машини. Троянецът осигурява отдалечен достъп до устройството, свързва се със сървър за командване и управление (C2, C&C) и може да бъде инструктиран да извърши кражба на данни или да достави допълнителни, повредени полезни товари.

Сложна верига за атака

Според констатациите на изследователите, Serpent Backdoor е доставен на целевите системи като последна стъпка във веригата за атака, която включва няколко нови или рядко използвани техники. Първо, нападателите разпространиха примамливи имейли, представящи се за автобиография или документи, свързани с GDPR (Общите регламенти за защита на данните на ЕС) до нищо неподозиращите жертви. Имейлите съдържаха примамка на Microsoft Word документ с компрометирани макроси.

Отварянето на документа задейства макроса, който пристъпва към получаване на кодиран с base64 PowerShell скрипт. Сценарият се инжектира в изображение чрез стеганография. Скриптът PowerShell извлича, инсталира и актуализира инсталационен пакет Chocolatey. Това е първият път, когато изследователите наблюдават използването на легитимния инструмент за автоматизиране на управление на софтуера Chocolatey като част от кампания за атака.

Chocolatey се използва за инсталиране на Python на устройството, включително инсталатора на пакети pip. От своя страна, неговата задача е да инсталира множество зависимости, като PySocks, което позволява на потребителите да пренасочват трафика през SOCKS и HTTP прокси сървъри. Следващата стъпка отново включва извличането на данни, скрити в изображението чрез стеганография. Този път скрипт на Python се извлича и след това се записва на машината на жертвата като MicrosoftSecurityUpdate.py. Веригата за атака е завършена, след като се изпълни команда, сочеща към съкратен URL адрес, водещ към помощния уебсайт на Microsoft Office.