Serpent Backdoor Trojos arklys
Kibernetinio saugumo ekspertai atskleidė itin tikslingą atakų kampaniją prieš Prancūzijos įmones, veikiančias nekilnojamojo turto, statybos ir valdžios sektoriuose. Grėsmingos operacijos galiausiai panaudojo anksčiau nežinomą užpakalinių durų grėsmę, pavadintą „Serpent Backdoor Trojan“. Išsami informacija apie kenkėjišką programą ir atakų grandinę buvo paskelbta saugumo tyrėjų ataskaitoje.
Grėsmės veikėjų tikslai lieka nežinomi, tačiau „Serpent Backdoor“ gali atlikti įvairius įžeidžiančius veiksmus pažeistose mašinose. Trojos arklys suteikia nuotolinę prieigą prie įrenginio, susisiekia su Command-and-Control (C2, C&C) serveriu ir gali būti nurodyta pavogti duomenis arba pristatyti papildomus, sugadintus naudingus krovinius.
Sudėtinga puolimo grandinė
Remiantis tyrėjų išvadomis, „Serpent Backdoor“ buvo pristatytas į tikslines sistemas kaip paskutinis atakos grandinės žingsnis, apimantis keletą naujų arba retai naudojamų metodų. Pirma, užpuolikai nieko neįtariančioms aukoms išplatino viliojančiuosius el. El. laiškuose buvo masalas „Microsoft Word“ dokumentas su pažeistomis makrokomandomis.
Atidarius dokumentą, suaktyvinama makrokomanda, kuri gauna „Base64“ užkoduotą „PowerShell“ scenarijų. Scenarijus įterpiamas į vaizdą naudojant steganografiją. „PowerShell“ scenarijus gauna, įdiegia ir atnaujina „Chocolatey“ diegimo programos paketą. Tai pirmas kartas, kai mokslininkai stebėjo teisėto programinės įrangos valdymo automatizavimo įrankio Chocolatey naudojimą kaip atakos kampanijos dalį.
Chocolatey naudojamas Python įdiegimui įrenginyje, įskaitant pip paketo diegimo programą. Savo ruožtu jo užduotis yra įdiegti daugybę priklausomybių, pvz., PySocks, kuri leidžia vartotojams nukreipti srautą per SOCKS ir HTTP tarpinius serverius. Kitas žingsnis dar kartą apima vaizde paslėptų duomenų ištraukimą naudojant steganografiją. Šį kartą Python scenarijus išgaunamas ir išsaugomas aukos kompiuteryje kaip MicrosoftSecurityUpdate.py. Atakos grandinė užbaigiama po to, kai įvykdoma komanda, nukreipianti į sutrumpintą URL, vedantį į „Microsoft Office“ pagalbos svetainę.
