โทรจัน Backdoor ของพญานาค

ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ได้เปิดเผยการรณรงค์โจมตีที่กำหนดเป้าหมายอย่างสูงต่อบริษัทฝรั่งเศสที่ดำเนินงานในภาคอสังหาริมทรัพย์ การก่อสร้าง และภาครัฐ ในที่สุดปฏิบัติการที่คุกคามได้ปรับใช้ภัยคุกคามลับๆ ที่ไม่รู้จักก่อนหน้านี้ซึ่งมีชื่อว่า Serpent Backdoor Trojan รายละเอียดเกี่ยวกับมัลแวร์และห่วงโซ่การโจมตีได้รับการเปิดเผยในรายงานโดยนักวิจัยด้านความปลอดภัย

เป้าหมายของผู้คุกคามยังไม่ทราบ แต่ Serpent Backdoor สามารถดำเนินการล่วงล้ำต่างๆ บนเครื่องที่ถูกเจาะได้ โทรจันให้การเข้าถึงอุปกรณ์จากระยะไกล ติดต่อเซิร์ฟเวอร์ Command-and-Control (C2, C&C) และสามารถสั่งให้ทำการขโมยข้อมูลหรือส่งเพย์โหลดเพิ่มเติมที่เสียหายได้

ห่วงโซ่การโจมตีที่ซับซ้อน

จากผลการวิจัยของนักวิจัย Serpent Backdoor ถูกส่งไปยังระบบเป้าหมายเป็นขั้นตอนสุดท้ายในห่วงโซ่การโจมตีที่เกี่ยวข้องกับเทคนิคใหม่ ๆ หรือเทคนิคที่ไม่ค่อยได้ใช้ ประการแรก ผู้โจมตีได้เผยแพร่อีเมลหลอกลวงที่อ้างว่าเป็นประวัติย่อของงานหรือเอกสารที่เกี่ยวข้องกับ GDPR (กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของสหภาพยุโรป) แก่ผู้ที่ตกเป็นเหยื่อที่ไม่สงสัย อีเมลดังกล่าวมีเอกสาร Microsoft Word ที่เป็นเหยื่อล่อซึ่งมีมาโครที่ถูกบุกรุก

การเปิดเอกสารจะทริกเกอร์มาโคร ซึ่งจะได้รับสคริปต์ PowerShell ที่เข้ารหัส base64 สคริปต์ถูกฉีดเข้าไปในรูปภาพผ่าน Steganography สคริปต์ PowerShell ดึง ติดตั้ง และอัปเดตแพ็คเกจตัวติดตั้ง Chocolatey นี่เป็นครั้งแรกที่นักวิจัยสังเกตเห็นการใช้เครื่องมือจัดการซอฟต์แวร์อัตโนมัติ Chocolatey ที่ถูกต้องตามกฎหมาย ซึ่งเป็นส่วนหนึ่งของแคมเปญโจมตี

Chocolatey ใช้เพื่อติดตั้ง Python บนอุปกรณ์ รวมถึงตัวติดตั้งแพ็คเกจ pip ในทางกลับกัน หน้าที่ของมันคือการติดตั้งการพึ่งพาจำนวนมาก เช่น PySocks ซึ่งช่วยให้ผู้ใช้สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลผ่าน SOCKS และพร็อกซีเซิร์ฟเวอร์ HTTP ขั้นตอนต่อไปคือการดึงข้อมูลที่ซ่อนอยู่ในภาพผ่าน Steganography อีกครั้ง คราวนี้ สคริปต์ Python จะถูกดึงออกมาแล้วบันทึกลงในเครื่องของเหยื่อเป็น MicrosoftSecurityUpdate.py ห่วงโซ่การโจมตีจะเสร็จสิ้นหลังจากดำเนินการคำสั่งที่ชี้ไปยัง URL ที่สั้นลงซึ่งนำไปสู่เว็บไซต์ช่วยเหลือของ Microsoft Office