Trojan Serpent Backdoor
Një fushatë sulmi shumë e shënjestruar kundër kompanive franceze që operojnë në sektorët e pasurive të paluajtshme, të ndërtimit dhe qeverisë është zbuluar nga ekspertë të sigurisë kibernetike. Operacionet kërcënuese vendosën përfundimisht një kërcënim të panjohur më parë të pasme të quajtur Trojan Serpent Backdoor. Detaje rreth malware dhe zinxhirit të sulmit u publikuan në një raport nga studiuesit e sigurisë.
Qëllimet e aktorëve të kërcënimit mbeten të panjohura, por Dera e pasme e Gjarprit mund të kryejë veprime të ndryshme ndërhyrëse në makinat e thyera. Trojani siguron akses në distancë në pajisje, kontakton një server Command-and-Control (C2, C&C) dhe mund të udhëzohet të kryejë vjedhje të dhënash ose të japë ngarkesa shtesë të korruptuara.
Një zinxhir kompleks sulmi
Sipas gjetjeve të studiuesve, Dera e pasme e Gjarprit iu dorëzua sistemeve të synuara si hapi i fundit në një zinxhir sulmi që përfshinte disa teknika të reja ose të përdorura rrallë. Së pari, sulmuesit shpërndanë emaile joshëse që paraqiteshin si rezyme pune ose dokumente në lidhje me GDPR (Rregulloret e Përgjithshme të Mbrojtjes së të Dhënave të BE-së) për viktimat që nuk dyshonin. Emailet përmbanin një karrem dokument Microsoft Word me makro të komprometuara.
Hapja e dokumentit aktivizon makron, e cila vazhdon për të marrë një skript PowerShell të koduar në bazë64. Skenari është injektuar në një imazh nëpërmjet steganografisë. Skripti PowerShell merr, instalon dhe përditëson një paketë instaluesi Chocolatey. Kjo është hera e parë që studiuesit kanë vëzhguar përdorimin e mjetit legjitim të automatizimit të menaxhimit të softuerit Chocolatey si pjesë e një fushate sulmi.
Chocolatey përdoret për të instaluar Python në pajisje, duke përfshirë instaluesin e paketës pip. Nga ana tjetër, detyra e tij është të instalojë varësi të shumta, të tilla si PySocks, i cili lejon përdoruesit të devijojnë trafikun përmes serverëve proxy SOCKS dhe HTTP. Hapi tjetër, edhe një herë, përfshin nxjerrjen e të dhënave të fshehura në një imazh nëpërmjet steganografisë. Këtë herë, një skrip Python nxirret dhe më pas ruhet në kompjuterin e viktimës si MicrosoftSecurityUpdate.py. Zinxhiri i sulmit përfundon pasi të ekzekutohet një komandë që tregon një URL të shkurtuar që çon në faqen e internetit të ndihmës së Microsoft Office.
