Licenser för flera enheter (volymrabatter)
Threat Database Backdoors Serpent Backdoor Trojan

Serpent Backdoor Trojan

Med Mezo år Backdoors, Trojans
Översätt till:
Svenska

En mycket riktad attackkampanj mot franska företag verksamma inom fastighets-, bygg- och statliga sektorer har avslöjats av cybersäkerhetsexperter. De hotfulla operationerna distribuerade till slut ett tidigare okänt bakdörrshot vid namn Serpent Backdoor Trojan. Detaljer om skadlig programvara och attackkedjan släpptes i en rapport från säkerhetsforskare.

Hotaktörernas mål är fortfarande okända, men Serpent Backdoor kan utföra olika påträngande åtgärder på de brutna maskinerna. Trojanen ger fjärråtkomst till enheten, kontaktar en Command-and-Control-server (C2, C&C) och kan instrueras att utföra datastöld eller leverera ytterligare, skadade nyttolaster.

En komplex attackkedja

Enligt forskarnas resultat levererades Serpent Backdoor till de riktade systemen som det sista steget i en attackkedja som involverade flera nya eller sällan använda tekniker. Först spred angriparna mejl som utgav sig för att vara jobb-meritförteckningar eller dokument relaterade till GDPR (EU:s allmänna dataskyddsförordningar) till de intet ont anande offren. E-postmeddelandena innehöll ett bete Microsoft Word-dokument med komprometterade makron.

Öppnandet av dokumentet utlöser makrot, som fortsätter för att erhålla ett base64-kodat PowerShell-skript. Skriptet injiceras i en bild via steganografi. PowerShell-skriptet hämtar, installerar och uppdaterar ett Chocolatey-installationspaket. Detta är första gången som forskare har observerat användningen av det legitima automationsverktyget Chocolatey för mjukvaruhantering som en del av en attackkampanj.

Chocolatey används för att installera Python på enheten, inklusive installationsprogrammet för pip-paketet. I sin tur är dess uppgift att installera många beroenden, till exempel PySocks, som tillåter användare att avleda trafik genom SOCKS och HTTP-proxyservrar. Nästa steg, återigen, involverar extrahering av data gömd i en bild via steganografi. Den här gången extraheras ett Python-skript och sparas sedan på offrets dator som MicrosoftSecurityUpdate.py. Attackkedjan slutförs efter att ett kommando som pekar på en förkortad URL som leder till Microsoft Office-hjälpwebbplatsen har körts.

Trendigt

Mest sedda

Läser in...