Serpent Backdoor Trojan
网络安全专家发现了针对在房地产、建筑和政府部门运营的法国公司的高度针对性攻击活动。威胁行动最终部署了一个以前未知的后门威胁,名为 Serpent Backdoor Trojan。安全研究人员在一份报告中公布了有关恶意软件和攻击链的详细信息。
威胁参与者的目标仍然未知,但 Serpent Backdoor 可以对被破坏的机器执行各种侵入性操作。木马提供对设备的远程访问,联系命令和控制(C2、C&C)服务器,并可以被指示执行数据盗窃或传递额外的损坏有效负载。
复杂的攻击链
根据研究人员的调查结果,Serpent Backdoor 作为攻击链的最后一步被传递到目标系统,该攻击链涉及几种新的或很少使用的技术。首先,攻击者向毫无戒心的受害者发送伪装成工作简历或与 GDPR(欧盟通用数据保护条例)相关文件的诱饵电子邮件。这些电子邮件包含一个带有受损宏的诱饵 Microsoft Word 文档。
打开文档会触发宏,该宏会继续获取 base64 编码的 PowerShell 脚本。该脚本通过隐写术注入到图像中。 PowerShell 脚本获取、安装和更新 Chocolatey 安装程序包。这是研究人员首次观察到将合法软件管理自动化工具 Chocolatey 用作攻击活动的一部分。
Chocolatey 用于在设备上安装 Python,包括 pip 包安装程序。反过来,它的任务是安装许多依赖项,例如 PySocks,它允许用户通过 SOCKS 和 HTTP 代理服务器转移流量。下一步再次涉及通过隐写术提取隐藏在图像中的数据。这一次,一个 Python 脚本被提取出来,然后作为 MicrosoftSecurityUpdate.py 保存在受害者的机器上。在执行指向指向 Microsoft Office 帮助网站的缩短 URL 的命令后,攻击链就完成了。
