Змеиный бэкдор-троянец

Эксперты по кибербезопасности раскрыли целенаправленную атаку на французские компании, работающие в сфере недвижимости, строительства и государственного сектора. В результате угрожающих операций была развернута ранее неизвестная бэкдор-троянская программа под названием Serpent Backdoor. Подробности о вредоносном ПО и цепочке атак были опубликованы в отчете исследователей безопасности.

Цели злоумышленников остаются неизвестными, но бэкдор Serpent может выполнять различные интрузивные действия на взломанных машинах. Троянец обеспечивает удаленный доступ к устройству, связывается с сервером управления и контроля (C2, C&C) и может быть проинструктирован о краже данных или доставке дополнительных поврежденных полезных данных.

Сложная цепочка атак

Согласно выводам исследователей, бэкдор Serpent был доставлен в целевые системы в качестве последнего шага в цепочке атак, включающей несколько новых или редко используемых методов. Во-первых, злоумышленники рассылали ничего не подозревающим жертвам электронные письма-приманки, выдававшие себя за резюме с работы или документы, связанные с GDPR (Общие правила защиты данных ЕС). Электронные письма содержали документ Microsoft Word-приманку со скомпрометированными макросами.

Открытие документа запускает макрос, который переходит к получению сценария PowerShell в кодировке base64. Скрипт внедряется в изображение с помощью стеганографии. Сценарий PowerShell извлекает, устанавливает и обновляет пакет установщика Chocolatey. Это первый случай, когда исследователи наблюдают использование законного инструмента автоматизации управления программным обеспечением Chocolatey в рамках кампании атаки.

Chocolatey используется для установки Python на устройство, включая установщик пакетов pip. В свою очередь, его задачей является установка многочисленных зависимостей, таких как PySocks, что позволяет пользователям перенаправлять трафик через SOCKS и HTTP-прокси-серверы. Следующий шаг, опять же, включает в себя извлечение данных, скрытых в изображении, с помощью стеганографии. На этот раз сценарий Python извлекается, а затем сохраняется на компьютере жертвы как MicrosoftSecurityUpdate.py. Цепочка атак завершается после выполнения команды, указывающей на сокращенный URL-адрес, ведущий на веб-сайт справки Microsoft Office.