Serpent Backdoor Trojan

Strokovnjaki za kibernetsko varnost so odkrili močno usmerjeno kampanjo napadov na francoska podjetja, ki delujejo v nepremičninskem, gradbenem in vladnem sektorju. Nevarne operacije so na koncu uporabile prej neznano grožnjo zakulisja, imenovano Serpent Backdoor Trojan. Podrobnosti o zlonamerni programski opremi in verigi napadov so objavili v poročilu varnostni raziskovalci.

Cilji akterjev grožnje ostajajo neznani, vendar lahko Serpent Backdoor izvaja različna vsiljiva dejanja na vlomljenih strojih. Trojanec zagotavlja oddaljeni dostop do naprave, vzpostavi stik s strežnikom za upravljanje in nadzor (C2, C&C) in ga je mogoče naročiti, da izvede krajo podatkov ali dostavi dodatne, poškodovane tovore.

Kompleksna napadalna veriga

Po ugotovitvah raziskovalcev je bila Serpent Backdoor dostavljena ciljnim sistemom kot zadnji korak v napadalni verigi, ki je vključevala več novih ali redko uporabljenih tehnik. Prvič, napadalci so nič hudega slutečim žrtvam razširjali vabljiva e-poštna sporočila, ki so se predstavljala kot življenjepise ali dokumente, povezane z GDPR (Splošne uredbe EU o varstvu podatkov). E-poštna sporočila so vsebovala dokument Microsoft Word z vabo z ogroženimi makri.

Odpiranje dokumenta sproži makro, ki nadaljuje s pridobivanjem skripta PowerShell, kodiranega z base64. Skript se v sliko vbrizga s steganografijo. Skript PowerShell pridobi, namesti in posodobi namestitveni paket Chocolatey. To je prvič, da so raziskovalci opazili uporabo zakonitega orodja za avtomatizacijo upravljanja programske opreme Chocolatey kot del napadalne kampanje.

Chocolatey se uporablja za namestitev Pythona na napravo, vključno z namestitvenim programom paketa pip. Njegova naloga pa je namestitev številnih odvisnosti, kot je PySocks, ki uporabnikom omogoča preusmeritev prometa prek strežnikov SOCKS in HTTP proxy. Naslednji korak spet vključuje ekstrakcijo podatkov, skritih v sliki, s steganografijo. Tokrat se skript Python ekstrahira in nato shrani na računalnik žrtve kot MicrosoftSecurityUpdate.py. Napadna veriga je končana, ko se izvede ukaz, ki kaže na skrajšani URL, ki vodi do spletnega mesta pomoči za Microsoft Office.