Die neue Serpent-Backdoor-Malware zielt mit einer unvorhergesehenen Methode auf französische Unternehmen ab
Die Malware wurde im französischen Bau- und Regierungssektor gefunden und verwendet laut Proofpoint Steganographie, Tor-Proxy und Paketinstallationssoftware.
Bild: solarseven, Getty Images/iStockphoto
Im Internet wurde eine neue Hintertür namens Serpent gefunden, die französische Unternehmen im Bau- und Regierungssektor infiziert. Die Hintertür wird auf innovative Weise installiert, darunter Steganographie, Tor-Proxy und legitime Paketinstallationssoftware.
SIEHE:
Passwortbruch: Warum Popkultur und Passwörter nicht zusammenpassen (kostenloses PDF)
(TechRepublic)
Die neue Hintertür wurde von Proofpoint in einer heute veröffentlichten Veröffentlichung gefunden und aufgedeckt.
Wie die Serpent-Hintertür ihren anfänglichen Kompromiss eingeht
Wie so oft bei gezielten Angriffen beginnt alles mit einer E-Mail. In diesem von Proofpoint aufgedeckten Fall enthält es ein infiziertes Microsoft Word-Dokument, geschrieben in Französisch (Abbildung A).
Abbildung A
Bild: Proofpoint. RGPD-bezogenes Microsoft Word-Dokument, das von den Angreifern gesendet wurde. (RGPD ist die DSGVO)
Das Dokument lockt den Benutzer Makros zu aktivieren, um das Dokument lesen zu können, was eine sehr verbreitete Taktik für Angreifer ist, um eine Infektion auf einem Zielcomputer zu starten.
Der Betreff der E-Mail , „Kandidatur“, gefolgt von einem Vor- und Nachnamen, ist das übliche französische Wort für „Bewerbung“ und ist ein weiterer häufiger Köder, der von Angreifern verwendet wird, um einen Benutzer zum Öffnen eines schädlichen Dokuments zu verleiten.
Eine lange und ungesehene Infektionskette
Sobald das Makro aktiviert ist, lädt es ein Bild herunter, das sich auf einer kompromittierten Website befindet. Dieses Image enthält ein verschlüsseltes PowerShell-Skript, das mithilfe von Steganografie (Verbergen einer Nachricht in einer Nachricht) verborgen ist.
Dieses PowerShell-Skript lädt ein Installationspaket herunter, installiert und aktualisiert es bekannt als Chocolatey. Chocolatey ist ein Softwaremanagement-Automatisierungstool für Windows-Systeme. Es packt Installationsprogramme, Exe-Dateien, Archive und Skripte in ein kompiliertes Paket. Proofpoint berichtet, dass dies seines Wissens nach das erste Mal ist, dass dieses Tool von einem Bedrohungsakteur in einer Angriffskampagne missbraucht wurde.
Sobald dies erledigt ist, installiert Chocolatey das Python-Programmiersprache, einschließlich pip, dem Installationsprogramm für Python-Pakete.
Der nächste Schritt besteht aus der Installation verschiedener Abhängigkeiten, einschließlich PySocks, einem Python-Tool, mit dem Benutzer senden können Datenverkehr über Socks und HTTP-Proxy-Server.
Ein weiteres Bild wird von derselben Website wie das erste Bild heruntergeladen, das wiederum Steganographie verwendet, diesmal zu Speichern Sie ein verschlüsseltes Python-Skript, das auf dem Computer als MicrosoftSecurityUpdate.py gespeichert ist (Abbildung B
. ).
Abbildung B
Bild: Proofpoint. Bild, das die Hintertür mit Steganografie versteckt.
Die Infektionskette stoppt mit einem Befehl zu einem URL-Shortener-Link, der den Benutzer auf die legitime Microsoft Office-Hilfe-Website weiterleitet.
All diese Schritte machen die Analyse des Angriffs viel wertvoller kompliziert (
Abbildung C).
Abbildung C