Licence pro více zařízení (množstevní slevy)
Threat Database Backdoors Hadí Backdoor Trojan

Hadí Backdoor Trojan

V roce Mezo v roce Backdoors, Trojans
Přeložit do:
Čeština

Experti na kybernetickou bezpečnost odhalili vysoce cílenou útočnou kampaň proti francouzským společnostem působícím v realitním, stavebním a vládním sektoru. Hrozivé operace nakonec nasadily dříve neznámou hrozbu zadních vrátek s názvem Serpent Backdoor Trojan. Podrobnosti o malwaru a řetězci útoků byly zveřejněny ve zprávě bezpečnostních výzkumníků.

Cíle aktérů hrozby zůstávají neznámé, ale Serpent Backdoor může na narušených strojích provádět různé rušivé akce. Trojský kůň poskytuje vzdálený přístup k zařízení, kontaktuje server Command-and-Control (C2, C&C) a může být instruován, aby provedl krádež dat nebo dodal další poškozené datové části.

Komplexní útočný řetězec

Podle zjištění výzkumníků byl Serpent Backdoor doručen do cílených systémů jako poslední krok v řetězu útoků, který zahrnoval několik nových nebo zřídka používaných technik. Za prvé, útočníci rozšiřovali nic netušícím obětem e-maily s návnadami, které vystupovaly jako životopisy nebo dokumenty související s GDPR (obecná nařízení EU o ochraně osobních údajů). E-maily obsahovaly návnadu dokument Microsoft Word s kompromitovanými makry.

Otevřením dokumentu se spustí makro, které pokračuje v získání skriptu PowerShell zakódovaného v base64. Skript je vložen do obrázku pomocí steganografie. Skript PowerShell načte, nainstaluje a aktualizuje instalační balíček Chocolatey. Je to poprvé, co výzkumníci pozorovali použití legitimního nástroje pro automatizaci správy softwaru Chocolatey jako součást útočné kampaně.

Chocolatey se používá k instalaci Pythonu na zařízení, včetně instalačního programu balíčku pip. Jeho úkolem je zase instalovat četné závislosti, jako je PySocks, která uživatelům umožňuje přesměrovat provoz přes SOCKS a HTTP proxy servery. Další krok opět zahrnuje extrakci dat skrytých v obrázku pomocí steganografie. Tentokrát je extrahován skript Python a poté uložen na počítači oběti jako MicrosoftSecurityUpdate.py. Řetězec útoků je dokončen po provedení příkazu ukazujícího na zkrácenou adresu URL vedoucí na web nápovědy Microsoft Office.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,356
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...