Serpent Backdoor trójai
Erősen célzott támadási kampányt tártak fel az ingatlan-, építő- és kormányzati szektorban működő francia vállalatok ellen kiberbiztonsági szakértők. A fenyegető műveletek végül a Serpent Backdoor Trojan nevű, korábban ismeretlen hátsó ajtó fenyegetést vetettek be. A kártevőről és a támadási láncról a biztonsági kutatók jelentésében adtak ki részleteket.
A fenyegetés szereplőinek céljai továbbra is ismeretlenek, de a Serpent Backdoor különféle tolakodó akciókat hajthat végre a feltört gépeken. A trójai távoli hozzáférést biztosít az eszközhöz, felveszi a kapcsolatot egy Command-and-Control (C2, C&C) szerverrel, és utasítható adatlopásra vagy további, sérült rakományok szállítására.
Összetett támadási lánc
A kutatók megállapításai szerint a Serpent Backdoort a megcélzott rendszerekbe szállították egy olyan támadási lánc utolsó lépéseként, amely számos új vagy ritkán használt technikát tartalmazott. Először is, a támadók munka önéletrajzának vagy a GDPR-hez (EU Általános Adatvédelmi Szabályzatához) kapcsolódó dokumentumokat terjesztettek a gyanútlan áldozatoknak. Az e-mailek egy csali Microsoft Word-dokumentumot tartalmaztak feltört makróval.
A dokumentum megnyitása elindítja a makrót, amely egy base64 kódolású PowerShell-szkriptet kap. A forgatókönyvet szteganográfia segítségével injektálják a képbe. A PowerShell-szkript lekéri, telepíti és frissíti a Chocolatey telepítőcsomagot. Ez az első alkalom, hogy a kutatók megfigyelték a jogos Chocolatey szoftvermenedzsment automatizálási eszköz használatát támadási kampány részeként.
A Chocolatey a Python telepítésére szolgál az eszközre, beleértve a pip csomag telepítőjét is. Feladata viszont számos függőség telepítése, például a PySocks, amely lehetővé teszi a felhasználók számára, hogy a forgalmat SOCKS-on és HTTP-proxyszervereken keresztül tereljék át. A következő lépés ismét a képen elrejtett adatok szteganográfiával történő kinyerését jelenti. Ezúttal a rendszer egy Python-szkriptet bont ki, majd MicrosoftSecurityUpdate.py néven menti az áldozat gépére. A támadási lánc a Microsoft Office súgówebhelyére vezető rövidített URL-re mutató parancs végrehajtása után fejeződik be.
