Serpent Backdoor Trojan
網絡安全專家發現了針對在房地產、建築和政府部門運營的法國公司的高度針對性攻擊活動。威脅行動最終部署了一個以前未知的後門威脅,名為 Serpent Backdoor Trojan。安全研究人員在一份報告中公佈了有關惡意軟件和攻擊鏈的詳細信息。
威脅參與者的目標仍然未知,但 Serpent Backdoor 可以對被破壞的機器執行各種侵入性操作。木馬提供對設備的遠程訪問,聯繫命令和控制(C2、C&C)服務器,並可以被指示執行數據盜竊或傳遞額外的損壞有效負載。
複雜的攻擊鏈
根據研究人員的調查結果,Serpent Backdoor 作為攻擊鏈的最後一步被傳遞到目標系統,該攻擊鏈涉及幾種新的或很少使用的技術。首先,攻擊者向毫無戒心的受害者發送偽裝成工作簡歷或與 GDPR(歐盟通用數據保護條例)相關文件的誘餌電子郵件。這些電子郵件包含一個帶有受損宏的誘餌 Microsoft Word 文檔。
打開文檔會觸發宏,該宏會繼續獲取 base64 編碼的 PowerShell 腳本。該腳本通過隱寫術注入到圖像中。 PowerShell 腳本獲取、安裝和更新 Chocolatey 安裝程序包。這是研究人員首次觀察到將合法軟件管理自動化工具 Chocolatey 用作攻擊活動的一部分。
Chocolatey 用於在設備上安裝 Python,包括 pip 包安裝程序。反過來,它的任務是安裝許多依賴項,例如 PySocks,它允許用戶通過 SOCKS 和 HTTP 代理服務器轉移流量。下一步再次涉及通過隱寫術提取隱藏在圖像中的數據。這一次,一個 Python 腳本被提取出來,然後作為 MicrosoftSecurityUpdate.py 保存在受害者的機器上。在執行指向指向 Microsoft Office 幫助網站的縮短 URL 的命令後,攻擊鏈就完成了。
