נחש טרויאני בדלת אחורית

מסע תקיפה ממוקד במיוחד נגד חברות צרפתיות הפועלות במגזרי הנדל"ן, הבנייה והממשלה נחשף על ידי מומחי אבטחת סייבר. המבצעים המאיימים פרסמו בסופו של דבר איום דלת אחורית שלא היה ידוע בעבר בשם ה- Serpent Backdoor Trojan. פרטים על התוכנה הזדונית ושרשרת ההתקפה פורסמו בדו"ח של חוקרי אבטחה.

המטרות של שחקני האיום נותרו לא ידועות, אבל הנחש האחורי יכול לבצע פעולות פולשניות שונות במכונות שנפרצו. הטרויאני מספק גישה מרחוק למכשיר, יוצר קשר עם שרת Command-and-Control (C2, C&C), וניתן להורות לו לבצע גניבת נתונים או לספק מטענים פגומים נוספים.

שרשרת תקיפה מורכבת

על פי ממצאי החוקרים, הנחש האחורי נמסר למערכות הממוקדות כשלב אחרון בשרשרת תקיפה שכללה מספר טכניקות חדשות או בשימוש נדיר. ראשית, התוקפים הפיצו מיילים פיתויים שהתחזו כקורות חיים או מסמכים הקשורים ל-GDPR (תקנות הגנת המידע הכלליות של האיחוד האירופי) לקורבנות התמימים. המיילים הכילו מסמך פיתיון של Microsoft Word עם פקודות מאקרו שנפגעו.

פתיחת המסמך מפעילה את המאקרו, שממשיך לקבל סקריפט PowerShell מקודד base64. התסריט מוזרק לתמונה באמצעות סטגנוגרפיה. סקריפט PowerShell מאחזר, מתקין ומעדכן חבילת התקנה של Chocolatey. זו הפעם הראשונה שחוקרים צופים בשימוש בכלי האוטומציה הלגיטימי לניהול תוכנה Chocolatey כחלק ממסע תקיפה.

Chocolatey משמש להתקנת Python במכשיר, כולל מתקין חבילת pip. בתורו, המשימה שלו היא להתקין תלות רבות, כגון PySocks, המאפשרת למשתמשים להסיט תעבורה דרך שרתי SOCKS ו-HTTP. השלב הבא, שוב, כרוך בחילוץ הנתונים החבויים בתמונה באמצעות סטגנוגרפיה. הפעם, סקריפט Python חולץ ולאחר מכן נשמר במחשב של הקורבן כ-MicrosoftSecurityUpdate.py. שרשרת ההתקפה הושלמה לאחר שבוצעה פקודה המצביעה על כתובת URL מקוצרת המובילה לאתר העזרה של Microsoft Office.