Serpent Backdoor Trojan
साइबर सुरक्षा विशेषज्ञों द्वारा अचल संपत्ति, निर्माण और सरकारी क्षेत्रों में काम कर रही फ्रांसीसी कंपनियों के खिलाफ एक अत्यधिक लक्षित हमले अभियान का खुलासा किया गया है। धमकी भरे ऑपरेशन ने अंततः सर्पेंट बैकडोर ट्रोजन नामक एक पहले अज्ञात पिछले दरवाजे के खतरे को तैनात किया। सुरक्षा शोधकर्ताओं की एक रिपोर्ट में मैलवेयर और हमले की श्रृंखला के बारे में विवरण जारी किया गया था।
धमकी देने वाले अभिनेताओं के लक्ष्य अज्ञात रहते हैं, लेकिन सर्प बैकडोर टूटी हुई मशीनों पर विभिन्न घुसपैठ की कार्रवाई कर सकता है। ट्रोजन डिवाइस को रिमोट एक्सेस प्रदान करता है, एक कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से संपर्क करता है, और डेटा चोरी करने या अतिरिक्त, दूषित पेलोड वितरित करने का निर्देश दिया जा सकता है।
एक जटिल हमला श्रृंखला
शोधकर्ताओं के निष्कर्षों के अनुसार, सर्पेंट बैकडोर को लक्षित प्रणालियों तक एक हमले की श्रृंखला में अंतिम चरण के रूप में वितरित किया गया था जिसमें कई नई या शायद ही कभी इस्तेमाल की जाने वाली तकनीकें शामिल थीं। सबसे पहले, हमलावरों ने बिना सोचे-समझे पीड़ितों को जॉब रिज्यूमे या जीडीपीआर (ईयू के जनरल डेटा प्रोटेक्शन रेगुलेशन) से संबंधित दस्तावेजों के रूप में लुभाने वाले ईमेल का प्रसार किया। ईमेल में समझौता किए गए मैक्रोज़ के साथ एक चारा Microsoft Word दस्तावेज़ था।
दस्तावेज़ खोलना मैक्रो को ट्रिगर करता है, जो बेस 64 एन्कोडेड पावरशेल स्क्रिप्ट प्राप्त करने के लिए आगे बढ़ता है। स्क्रिप्ट को स्टेग्नोग्राफ़ी के माध्यम से एक छवि में अंतःक्षिप्त किया जाता है। पावरशेल स्क्रिप्ट एक चॉकलेटी इंस्टॉलर पैकेज को लाती है, स्थापित करती है और अपडेट करती है। यह पहली बार है कि शोधकर्ताओं ने एक हमले के अभियान के हिस्से के रूप में वैध सॉफ्टवेयर प्रबंधन स्वचालन उपकरण चॉकलेटी के उपयोग को देखा है।
पिप पैकेज इंस्टालर सहित डिवाइस पर पायथन को स्थापित करने के लिए चॉकलेटी का उपयोग किया जाता है। बदले में, इसका कार्य कई निर्भरताएं स्थापित करना है, जैसे कि PySocks, जो उपयोगकर्ताओं को SOCKS और HTTP प्रॉक्सी सर्वर के माध्यम से ट्रैफ़िक को डायवर्ट करने की अनुमति देता है। अगले चरण में, एक बार फिर, स्टेग्नोग्राफ़ी के माध्यम से एक छवि में छिपे डेटा को निकालना शामिल है। इस बार, एक पायथन लिपि निकाली जाती है और फिर पीड़ित की मशीन पर MicrosoftSecurityUpdate.py के रूप में सहेजी जाती है। Microsoft Office सहायता वेबसाइट की ओर ले जाने वाले संक्षिप्त URL की ओर इशारा करते हुए एक कमांड निष्पादित होने के बाद हमला श्रृंखला पूरी हो जाती है।
