Serpent Backdoor Troijalainen
Kyberturvallisuuden asiantuntijat ovat paljastaneet erittäin kohdistetun hyökkäyskampanjan ranskalaisia kiinteistö-, rakennus- ja hallintosektorilla toimivia yrityksiä vastaan. Uhkaavat operaatiot käyttivät lopulta aiemmin tuntemattoman takaoven uhan nimeltä Serpent Backdoor Trojan. Yksityiskohdat haittaohjelmasta ja hyökkäysketjusta julkaistiin tietoturvatutkijoiden raportissa.
Uhkatoimijoiden tavoitteet ovat edelleen tuntemattomia, mutta Serpent Backdoor voi suorittaa erilaisia tunkeilevia toimia rikotun koneen kanssa. Troijalainen tarjoaa etäkäytön laitteeseen, ottaa yhteyttä Command-and-Control (C2, C&C) -palvelimeen ja sitä voidaan ohjata suorittamaan tietovarkauksia tai toimittamaan ylimääräisiä, vioittuneita hyötykuormia.
Monimutkainen hyökkäysketju
Tutkijoiden havaintojen mukaan Serpent Backdoor toimitettiin kohdejärjestelmiin viimeisenä vaiheena hyökkäysketjussa, joka sisälsi useita uusia tai harvoin käytettyjä tekniikoita. Ensinnäkin hyökkääjät levittelivät aavistamattomille uhreille houkutussähköposteja, jotka esiteltiin työansioluetteloina tai GDPR:ään (EU:n yleisiin tietosuoja-asetukseen) liittyviin asiakirjoihin. Sähköpostit sisälsivät syötti Microsoft Word -asiakirjan, jossa oli vaarantuneita makroja.
Asiakirjan avaaminen käynnistää makron, joka etenee base64-koodatun PowerShell-komentosarjan saamiseksi. Käsikirjoitus ruiskutetaan kuvaan steganografian avulla. PowerShell-komentosarja hakee, asentaa ja päivittää Chocolatey-asennuspaketin. Tämä on ensimmäinen kerta, kun tutkijat ovat havainneet laillisen ohjelmistonhallinnan automaatiotyökalun Chocolateyn käytön osana hyökkäyskampanjaa.
Chocolateytä käytetään Pythonin asentamiseen laitteelle, mukaan lukien pip-paketin asennusohjelma. Sen tehtävänä on puolestaan asentaa lukuisia riippuvuuksia, kuten PySocks, jonka avulla käyttäjät voivat ohjata liikennettä SOCKS- ja HTTP-välityspalvelinten kautta. Seuraava askel on jälleen kerran kuvaan piilotetun tiedon poistaminen steganografian avulla. Tällä kertaa Python-skripti puretaan ja tallennetaan sitten uhrin koneelle nimellä MicrosoftSecurityUpdate.py. Hyökkäysketju päättyy, kun komento, joka osoittaa Microsoft Officen ohjesivustolle johtavan lyhennetyn URL-osoitteen, on suoritettu.
