Бэкдор-троян Serpent

Експерти з кібербезпеки виявили суворо цілеспрямовану атаку на французькі компанії, що працюють у сферах нерухомості, будівництва та державного управління. Загрозливі операції зрештою розгорнули раніше невідому загрозу бекдору під назвою Serpent Backdoor Trojan. Деталі про зловмисне програмне забезпечення та ланцюжок атак були опубліковані у звіті дослідників безпеки.

Цілі акторів загроз залишаються невідомими, але Serpent Backdoor може виконувати різні нав’язливі дії на зламаних машинах. Троян надає віддалений доступ до пристрою, зв’язується з сервером командування та керування (C2, C&C) і може отримати вказівку на крадіжку даних або доставку додаткових пошкоджених корисних даних.

Складний ланцюг атаки

Згідно з висновками дослідників, Serpent Backdoor був доставлений цільовим системам як останній крок у ланцюжку атаки, що включає кілька нових або рідко використовуваних методів. По-перше, зловмисники розповсюдили нічого не підозрюючим жертвам електронні листи, які видавалися за резюме чи документи, пов’язані з GDPR (Загальні правила захисту даних ЄС). Електронні листи містили документ Microsoft Word-приманку з скомпрометованими макросами.

Відкриття документа запускає макрос, який переходить до отримання сценарію PowerShell із кодуванням base64. Сценарій вводиться в зображення за допомогою стеганографії. Сценарій PowerShell отримує, встановлює та оновлює пакет інсталятора Chocolatey. Це перший раз, коли дослідники спостерігали використання законного інструменту автоматизації керування програмним забезпеченням Chocolatey в рамках кампанії атаки.

Chocolatey використовується для встановлення Python на пристрої, включаючи інсталятор пакету pip. У свою чергу, його завданням є встановлення численних залежностей, таких як PySocks, що дозволяє користувачам перенаправляти трафік через SOCKS і HTTP проксі-сервери. Наступний крок, знову ж таки, включає вилучення даних, прихованих у зображенні, за допомогою стеганографії. Цього разу скрипт Python витягується, а потім зберігається на машині жертви як MicrosoftSecurityUpdate.py. Ланцюжок атаки завершується після виконання команди, яка вказує на скорочену URL-адресу, що веде на веб-сайт довідки Microsoft Office.