Serpent Backdoor Trojan

En meget målrettet angrebskampagne mod franske virksomheder, der opererer i ejendoms-, bygge- og regeringssektoren, er blevet afsløret af cybersikkerhedseksperter. De truende operationer indsatte i sidste ende en hidtil ukendt bagdørstrussel ved navn Serpent Backdoor Trojan. Detaljer om malwaren og angrebskæden blev offentliggjort i en rapport fra sikkerhedsforskere.

Trusselsaktørernes mål forbliver ukendte, men Serpent Backdoor kan udføre forskellige påtrængende handlinger på de brudte maskiner. Trojaneren giver fjernadgang til enheden, kontakter en Command-and-Control-server (C2, C&C) og kan blive instrueret i at udføre datatyveri eller levere yderligere, beskadigede nyttelaster.

En kompleks angrebskæde

Ifølge forskernes resultater blev Serpent Backdoor leveret til de målrettede systemer som det sidste trin i en angrebskæde, der involverede flere nye eller sjældent brugte teknikker. For det første spredte angriberne lokke-e-mails, der udgav sig som job-cv'er eller dokumenter relateret til GDPR (EU's generelle databeskyttelsesforordninger) til de intetanende ofre. E-mails indeholdt et lokkemiddel Microsoft Word-dokument med kompromitterede makroer.

Åbning af dokumentet udløser makroen, som fortsætter med at få et base64-kodet PowerShell-script. Scriptet injiceres i et billede via steganografi. PowerShell-scriptet henter, installerer og opdaterer en Chocolatey-installationspakke. Det er første gang, at forskere har observeret brugen af det legitime softwarestyringsautomatiseringsværktøj Chocolatey som en del af en angrebskampagne.

Chocolatey bruges til at installere Python på enheden, inklusive pip-pakkeinstallationsprogrammet. Til gengæld er dens opgave at installere adskillige afhængigheder, såsom PySocks, som giver brugerne mulighed for at omdirigere trafik gennem SOCKS og HTTP proxy-servere. Det næste trin involverer endnu en gang udtrækning af data skjult i et billede via steganografi. Denne gang udtrækkes et Python-script og gemmes derefter på ofrets maskine som MicrosoftSecurityUpdate.py. Angrebskæden er fuldført, efter at en kommando, der peger på en forkortet URL, der fører til Microsoft Office-hjælpewebstedet, er udført.