Serpent Backdoor Trojan

Esperti di sicurezza informatica hanno scoperto una campagna di attacco altamente mirata contro società francesi operanti nei settori immobiliare, edile e governativo. Le operazioni minacciose alla fine hanno implementato una minaccia backdoor precedentemente sconosciuta denominata Serpent Backdoor Trojan. I dettagli sul malware e sulla catena di attacco sono stati rilasciati in un rapporto dei ricercatori di sicurezza.

Gli obiettivi degli attori della minaccia rimangono sconosciuti, ma il Serpent Backdoor può eseguire varie azioni intrusive sulle macchine violate. Il Trojan fornisce l'accesso remoto al dispositivo, contatta un server Command-and-Control (C2, C&C) e può ricevere istruzioni per eseguire il furto di dati o fornire payload aggiuntivi e danneggiati.

Una catena d'attacco complessa

Secondo i risultati dei ricercatori, la Serpent Backdoor è stata consegnata ai sistemi presi di mira come passaggio finale di una catena di attacco che ha coinvolto diverse tecniche nuove o utilizzate raramente. In primo luogo, gli aggressori hanno diffuso e-mail di richiamo che si spacciavano per curriculum di lavoro o documenti relativi al GDPR (regolamento generale sulla protezione dei dati dell'UE) alle vittime ignare. Le e-mail contenevano un documento Microsoft Word esca con macro compromesse.

L'apertura del documento attiva la macro, che procede all'ottenimento di uno script PowerShell con codifica base64. La sceneggiatura viene iniettata in un'immagine tramite la steganografia. Lo script di PowerShell recupera, installa e aggiorna un pacchetto di installazione di Chocolatey. Questa è la prima volta che i ricercatori osservano l'uso del legittimo strumento di automazione della gestione del software Chocolatey come parte di una campagna di attacco.

Chocolatey viene utilizzato per installare Python sul dispositivo, incluso il programma di installazione del pacchetto pip. A sua volta, il suo compito è installare numerose dipendenze, come PySocks, che consente agli utenti di deviare il traffico tramite SOCKS e server proxy HTTP. Il passo successivo, ancora una volta, prevede l'estrazione dei dati nascosti in un'immagine tramite la steganografia. Questa volta, uno script Python viene estratto e quindi salvato sul computer della vittima come MicrosoftSecurityUpdate.py. La catena di attacco viene completata dopo l'esecuzione di un comando che punta a un URL abbreviato che porta al sito Web della guida di Microsoft Office.