뱀 백도어 트로이 목마

부동산, 건설 및 정부 부문에서 활동하는 프랑스 회사에 대한 고도의 표적 공격 캠페인이 사이버 보안 전문가에 의해 밝혀졌습니다. 위협적인 작업은 궁극적으로 Serpent 백도어 트로이 목마라는 이전에 알려지지 않은 백도어 위협을 배포했습니다. 멀웨어와 공격 체인에 대한 세부 정보는 보안 연구원의 보고서에서 공개되었습니다.

위협 행위자의 목표는 알려지지 않았지만 Serpent Backdoor는 침해된 시스템에서 다양한 침입 작업을 수행할 수 있습니다. 트로이 목마는 장치에 대한 원격 액세스를 제공하고 명령 및 제어(C2, C&C) 서버에 연결하며 데이터 절도를 수행하거나 손상된 추가 페이로드를 전달하도록 지시할 수 있습니다.

복잡한 공격 사슬

연구원들의 연구 결과에 따르면 Serpent Backdoor는 몇 가지 새롭거나 거의 사용되지 않는 기술을 포함하는 공격 체인의 마지막 단계로 표적 시스템에 전달되었습니다. 첫째, 공격자들은 순진한 피해자들에게 GDPR(EU의 일반 데이터 보호 규정)과 관련된 이력서나 문서를 사칭하는 유인 이메일을 유포했습니다. 이메일에는 손상된 매크로가 포함된 미끼 Microsoft Word 문서가 포함되어 있습니다.

문서를 열면 매크로가 트리거되어 base64로 인코딩된 PowerShell 스크립트를 가져옵니다. 스크립트는 스테가노그래피를 통해 이미지에 주입됩니다. PowerShell 스크립트는 Chocolatey 설치 프로그램 패키지를 가져오고 설치하고 업데이트합니다. 연구원들이 공격 캠페인의 일부로 합법적인 소프트웨어 관리 자동화 도구인 Chocolatey를 사용하는 것을 관찰한 것은 이번이 처음입니다.

Chocolatey는 pip 패키지 설치 프로그램을 포함하여 장치에 Python을 설치하는 데 사용됩니다. 차례로, 그 작업은 사용자가 SOCKS 및 HTTP 프록시 서버를 통해 트래픽을 전환할 수 있도록 하는 PySock과 같은 수많은 종속성을 설치하는 것입니다. 다음 단계는 다시 한 번 스테가노그래피를 통해 이미지에 숨겨진 데이터를 추출하는 것입니다. 이번에는 Python 스크립트가 추출되어 피해자의 컴퓨터에 MicrosoftSecurityUpdate.py로 저장됩니다. Microsoft Office 도움말 웹 사이트로 연결되는 단축 URL을 가리키는 명령이 실행된 후 공격 체인이 완료됩니다.