Serpent Backdoor Trojan

Μια εξαιρετικά στοχευμένη εκστρατεία επίθεσης εναντίον γαλλικών εταιρειών που δραστηριοποιούνται στους τομείς των ακινήτων, των κατασκευών και της κυβέρνησης αποκαλύφθηκε από ειδικούς στον τομέα της κυβερνοασφάλειας. Οι απειλητικές επιχειρήσεις εν τέλει ανέπτυξαν μια προηγουμένως άγνωστη απειλή κερκόπορτας που ονομάζεται Serpent Backdoor Trojan. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό και την αλυσίδα επιθέσεων κυκλοφόρησαν σε έκθεση ερευνητών ασφαλείας.

Οι στόχοι των παραγόντων απειλής παραμένουν άγνωστοι, αλλά το Serpent Backdoor μπορεί να εκτελέσει διάφορες παρεμβατικές ενέργειες στα μηχανήματα που έχουν παραβιαστεί. Το Trojan παρέχει απομακρυσμένη πρόσβαση στη συσκευή, έρχεται σε επαφή με έναν διακομιστή Command-and-Control (C2, C&C) και μπορεί να λάβει οδηγίες για την κλοπή δεδομένων ή την παράδοση πρόσθετων, κατεστραμμένων ωφέλιμων φορτίων.

Μια σύνθετη αλυσίδα επίθεσης

Σύμφωνα με τα ευρήματα των ερευνητών, το Serpent Backdoor παραδόθηκε στα στοχευμένα συστήματα ως το τελευταίο βήμα σε μια αλυσίδα επίθεσης που περιλάμβανε αρκετές νέες ή σπάνια χρησιμοποιούμενες τεχνικές. Πρώτον, οι επιτιθέμενοι διέδωσαν μηνύματα ηλεκτρονικού ταχυδρομείου με δέλεαρ που παρουσιάζονταν ως βιογραφικά θέσεων εργασίας ή έγγραφα σχετικά με τον GDPR (Γενικοί Κανονισμοί Προστασίας Δεδομένων της ΕΕ) στα ανυποψίαστα θύματα. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν ένα δόλωμα έγγραφο του Microsoft Word με παραβιασμένες μακροεντολές.

Το άνοιγμα του εγγράφου ενεργοποιεί τη μακροεντολή, η οποία προχωρά στην απόκτηση μιας κωδικοποιημένης δέσμης ενεργειών PowerShell από το base64. Το σενάριο εισάγεται σε μια εικόνα μέσω στεγανογραφίας. Το σενάριο PowerShell ανακτά, εγκαθιστά και ενημερώνει ένα πακέτο εγκατάστασης Chocolatey. Αυτή είναι η πρώτη φορά που οι ερευνητές παρατήρησαν τη χρήση του νόμιμου εργαλείου αυτοματισμού διαχείρισης λογισμικού Chocolatey ως μέρος μιας εκστρατείας επίθεσης.

Το Chocolatey χρησιμοποιείται για την εγκατάσταση της Python στη συσκευή, συμπεριλαμβανομένου του προγράμματος εγκατάστασης του πακέτου pip. Με τη σειρά του, το καθήκον του είναι να εγκαταστήσει πολλές εξαρτήσεις, όπως το PySocks, το οποίο επιτρέπει στους χρήστες να εκτρέπουν την κυκλοφορία μέσω διακομιστών μεσολάβησης SOCKS και HTTP. Το επόμενο βήμα, για άλλη μια φορά, περιλαμβάνει την εξαγωγή δεδομένων που κρύβονται σε μια εικόνα μέσω στεγανογραφίας. Αυτή τη φορά, ένα σενάριο Python εξάγεται και στη συνέχεια αποθηκεύεται στον υπολογιστή του θύματος ως MicrosoftSecurityUpdate.py. Η αλυσίδα επίθεσης ολοκληρώνεται αφού εκτελεστεί μια εντολή που δείχνει μια συντομευμένη διεύθυνση URL που οδηγεί στον ιστότοπο βοήθειας του Microsoft Office.