Serpent Backdoor Trojan
Siber güvenlik uzmanları, emlak, inşaat ve devlet sektörlerinde faaliyet gösteren Fransız şirketlerine yönelik son derece hedefli bir saldırı kampanyası ortaya çıkardı. Tehdit edici operasyonlar nihayetinde Serpent Backdoor Truva Atı adlı önceden bilinmeyen bir arka kapı tehdidini dağıttı. Kötü amaçlı yazılım ve saldırı zinciriyle ilgili ayrıntılar, güvenlik araştırmacıları tarafından bir raporda yayınlandı.
Tehdit aktörlerinin hedefleri bilinmiyor, ancak Serpent Backdoor, ihlal edilen makinelerde çeşitli müdahaleci eylemler gerçekleştirebilir. Truva Atı, cihaza uzaktan erişim sağlar, bir Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim kurar ve veri hırsızlığı yapması veya ek, bozuk yükler sağlaması talimatı verilebilir.
Karmaşık Bir Saldırı Zinciri
Araştırmacıların bulgularına göre, Serpent Backdoor, birkaç yeni veya nadiren kullanılan teknikleri içeren bir saldırı zincirinin son adımı olarak hedeflenen sistemlere teslim edildi. İlk olarak, saldırganlar hiçbir şeyden şüphelenmeyen kurbanlara iş özgeçmişi gibi görünen cazibeli e-postalar veya GDPR (AB'nin Genel Veri Koruma Yönetmeliği) ile ilgili belgeler yaydı. E-postalar, güvenliği ihlal edilmiş makrolar içeren bir yem Microsoft Word belgesi içeriyordu.
Belgenin açılması, base64 ile kodlanmış bir PowerShell betiği elde etmeye devam eden makroyu tetikler. Komut dosyası, steganografi yoluyla bir görüntüye enjekte edilir. PowerShell betiği bir Chocolatey yükleyici paketini getirir, yükler ve günceller. Bu, araştırmacıların meşru yazılım yönetimi otomasyon aracı Chocolatey'nin bir saldırı kampanyasının parçası olarak kullanıldığını ilk kez gözlemledikleri zamandır.
Chocolatey, pip paketi yükleyicisi de dahil olmak üzere Python'u cihaza yüklemek için kullanılır. Sırasıyla, görevi, kullanıcıların trafiği SOCKS ve HTTP proxy sunucuları üzerinden yönlendirmesine olanak tanıyan PySocks gibi çok sayıda bağımlılık yüklemektir. Bir sonraki adım, bir kez daha, bir görüntüde saklanan verilerin steganografi yoluyla çıkarılmasını içerir. Bu sefer, bir Python betiği ayıklanır ve ardından kurbanın makinesine MicrosoftSecurityUpdate.py olarak kaydedilir. Saldırı zinciri, Microsoft Office yardım web sitesine giden kısaltılmış bir URL'ye işaret eden bir komut yürütüldükten sonra tamamlanır.
