Serpent Backdoor Trojan

En svært målrettet angrepskampanje mot franske selskaper som opererer i eiendoms-, bygg- og offentlig sektor har blitt avdekket av nettsikkerhetseksperter. De truende operasjonene distribuerte til slutt en tidligere ukjent bakdørstrussel kalt Serpent Backdoor Trojan. Detaljer om skadelig programvare og angrepskjeden ble offentliggjort i en rapport fra sikkerhetsforskere.

Målene til trusselaktørene forblir ukjente, men Serpent Backdoor kan utføre forskjellige påtrengende handlinger på de ødelagte maskinene. Trojaneren gir ekstern tilgang til enheten, kontakter en Command-and-Control-server (C2, C&C) og kan bli bedt om å utføre datatyveri eller levere ytterligere, ødelagt nyttelast.

En kompleks angrepskjede

I følge funnene til forskerne ble Serpent Backdoor levert til de målrettede systemene som det siste trinnet i en angrepskjede som involverte flere nye eller sjelden brukte teknikker. Først spredte angriperne lokke-e-poster som poserte som jobb-CV eller dokumenter relatert til GDPR (EUs generelle databeskyttelsesforordning) til intetanende ofre. E-postene inneholdt et agn Microsoft Word-dokument med kompromitterte makroer.

Åpning av dokumentet utløser makroen, som fortsetter for å få et base64-kodet PowerShell-skript. Skriptet injiseres i et bilde via steganografi. PowerShell-skriptet henter, installerer og oppdaterer en Chocolatey-installasjonspakke. Dette er første gang forskere har observert bruken av det legitime automatiseringsverktøyet Chocolatey for programvareadministrasjon som en del av en angrepskampanje.

Chocolatey brukes til å installere Python på enheten, inkludert installasjonsprogrammet for pip-pakken. I sin tur er oppgaven å installere en rekke avhengigheter, for eksempel PySocks, som lar brukere viderekoble trafikk gjennom SOCKS og HTTP proxy-servere. Det neste trinnet, nok en gang, involverer utvinning av data skjult i et bilde via steganografi. Denne gangen trekkes et Python-skript ut og lagres deretter på offerets maskin som MicrosoftSecurityUpdate.py. Angrepskjeden fullføres etter at en kommando som peker til en forkortet URL som fører til hjelpenettstedet for Microsoft Office, er utført.