Serpent Backdoor Trojan
Een zeer gerichte aanvalscampagne tegen Franse bedrijven die actief zijn in de vastgoed-, bouw- en overheidssectoren is ontdekt door cyberbeveiligingsexperts. De bedreigende operaties hebben uiteindelijk een voorheen onbekende achterdeurdreiging ingezet, de Serpent Backdoor Trojan. Details over de malware en de aanvalsketen zijn vrijgegeven in een rapport van beveiligingsonderzoekers.
De doelen van de bedreigingsactoren blijven onbekend, maar de Serpent Backdoor kan verschillende intrusieve acties uitvoeren op de geschonden machines. De Trojan biedt externe toegang tot het apparaat, maakt contact met een Command-and-Control (C2, C&C)-server en kan worden geïnstrueerd om gegevensdiefstal uit te voeren of aanvullende, beschadigde payloads te leveren.
Een complexe aanvalsketen
Volgens de bevindingen van de onderzoekers werd de Serpent Backdoor aan de gerichte systemen geleverd als de laatste stap in een aanvalsketen waarbij verschillende nieuwe of zelden gebruikte technieken betrokken waren. Ten eerste verspreidden de aanvallers loke-mails die zich voordeden als cv's of documenten met betrekking tot de AVG (de algemene verordening gegevensbescherming van de EU) naar de nietsvermoedende slachtoffers. De e-mails bevatten een lokaas Microsoft Word-document met gecompromitteerde macro's.
Als u het document opent, wordt de macro geactiveerd, die vervolgens een base64-gecodeerd PowerShell-script verkrijgt. Het script wordt via steganografie in een afbeelding geïnjecteerd. Het PowerShell-script haalt een Chocolatey-installatiepakket op, installeert en werkt het bij. Dit is de eerste keer dat onderzoekers het gebruik van de legitieme software voor automatisering van softwarebeheer Chocolatey hebben waargenomen als onderdeel van een aanvalscampagne.
Chocolatey wordt gebruikt om Python op het apparaat te installeren, inclusief het pip-pakketinstallatieprogramma. Op zijn beurt is het zijn taak om tal van afhankelijkheden te installeren, zoals PySocks, waarmee gebruikers verkeer kunnen omleiden via SOCKS en HTTP-proxyservers. De volgende stap omvat opnieuw de extractie van gegevens die in een afbeelding zijn verborgen via steganografie. Deze keer wordt een Python-script uitgepakt en vervolgens opgeslagen op de computer van het slachtoffer als MicrosoftSecurityUpdate.py. De aanvalsketen is voltooid nadat een opdracht is uitgevoerd die verwijst naar een verkorte URL die leidt naar de Microsoft Office-helpwebsite.
