Die neue Serpent-Backdoor-Malware zielt mit einer unvorhergesehenen Methode auf französische Unternehmen ab

die-neue-serpent-backdoor-malware-zielt-mit-einer-unvorhergesehenen-methode-auf-franzoesische-unternehmen-ab

Die Malware wurde im französischen Bau- und Regierungssektor gefunden und verwendet laut Proofpoint Steganographie, Tor-Proxy und Paketinstallationssoftware.

Bild: solarseven, Getty Images/iStockphoto

Im Internet wurde eine neue Hintertür namens Serpent gefunden, die französische Unternehmen im Bau- und Regierungssektor infiziert. Die Hintertür wird auf innovative Weise installiert, darunter Steganographie, Tor-Proxy und legitime Paketinstallationssoftware.

SIEHE:

Passwortbruch: Warum Popkultur und Passwörter nicht zusammenpassen (kostenloses PDF)

(TechRepublic)

Die neue Hintertür wurde von Proofpoint in einer heute veröffentlichten Veröffentlichung gefunden und aufgedeckt.

Wie die Serpent-Hintertür ihren anfänglichen Kompromiss eingeht

Wie so oft bei gezielten Angriffen beginnt alles mit einer E-Mail. In diesem von Proofpoint aufgedeckten Fall enthält es ein infiziertes Microsoft Word-Dokument, geschrieben in Französisch (Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR)Abbildung A).

Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR)Abbildung A

Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR)Image: Proofpoint. Image hiding the backdoor using steganography.Bild: Proofpoint. RGPD-bezogenes Microsoft Word-Dokument, das von den Angreifern gesendet wurde. (RGPD ist die DSGVO)

Das Dokument lockt den Benutzer Makros zu aktivieren, um das Dokument lesen zu können, was eine sehr verbreitete Taktik für Angreifer ist, um eine Infektion auf einem Zielcomputer zu starten.

Der Betreff der E-Mail , „Kandidatur“, gefolgt von einem Vor- und Nachnamen, ist das übliche französische Wort für „Bewerbung“ und ist ein weiterer häufiger Köder, der von Angreifern verwendet wird, um einen Benutzer zum Öffnen eines schädlichen Dokuments zu verleiten.

Eine lange und ungesehene Infektionskette

Sobald das Makro aktiviert ist, lädt es ein Bild herunter, das sich auf einer kompromittierten Website befindet. Dieses Image enthält ein verschlüsseltes PowerShell-Skript, das mithilfe von Steganografie (Verbergen einer Nachricht in einer Nachricht) verborgen ist.

Dieses PowerShell-Skript lädt ein Installationspaket herunter, installiert und aktualisiert es bekannt als Chocolatey. Chocolatey ist ein Softwaremanagement-Automatisierungstool für Windows-Systeme. Es packt Installationsprogramme, Exe-Dateien, Archive und Skripte in ein kompiliertes Paket. Proofpoint berichtet, dass dies seines Wissens nach das erste Mal ist, dass dieses Tool von einem Bedrohungsakteur in einer Angriffskampagne missbraucht wurde.

Sobald dies erledigt ist, installiert Chocolatey das Python-Programmiersprache, einschließlich pip, dem Installationsprogramm für Python-Pakete.

Der nächste Schritt besteht aus der Installation verschiedener Abhängigkeiten, einschließlich PySocks, einem Python-Tool, mit dem Benutzer senden können Datenverkehr über Socks und HTTP-Proxy-Server.

Ein weiteres Bild wird von derselben Website wie das erste Bild heruntergeladen, das wiederum Steganographie verwendet, diesmal zu Speichern Sie ein verschlüsseltes Python-Skript, das auf dem Computer als MicrosoftSecurityUpdate.py gespeichert ist (Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR)Abbildung B

. ).

Abbildung B

Image: Proofpoint. Serpent backdoor attack chain.Bild: Proofpoint. Bild, das die Hintertür mit Steganografie versteckt.

Die Infektionskette stoppt mit einem Befehl zu einem URL-Shortener-Link, der den Benutzer auf die legitime Microsoft Office-Hilfe-Website weiterleitet.

All diese Schritte machen die Analyse des Angriffs viel wertvoller kompliziert (

Abbildung CImage: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR)).

Abbildung C

    Bild: Proofpoint. Schlangen-Hintertür-Angriffskette.

    Die Schlangen-Hintertür

    Die Schlangen-Hintertür ist ein Python-Skript, das wie folgt funktioniert:

      Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR) Es pingt regelmäßig einen Server, der im Tor-Netzwerk liegt, über die Verwendung einer .onion.pet-URL an und erwartet eine bestimmte Antwort:

    • . Es prüft, ob der Hostname mit dem infizierten Computer übereinstimmt, und führt in diesem Fall die vom Server bereitgestellten Befehle aus. Bei diesen Befehlen kann es sich um beliebige Windows-Befehle handeln, die vom Angreifer entworfen wurden.
        Befehlsausgabe wird aufgezeichnet.

        Es verwendet PySocks, um eine Verbindung zum Befehlszeilen-Pastebin-Tool Termbin herzustellen, fügt die Ausgabe in einen Bin ein und erhält die eindeutige URL des Bin zurück.

          Sobald das erledigt ist, die Hintertür sendet eine Anfrage an einen zweiten Server, ebenfalls über das Tor-Netzwerk. Die Anfrage enthält die bin-URL und den Hostnamen. Dies ermöglicht dem Angreifer, die Antworten von der Hintertür zu erhalten.

            Der Zyklus geht unendlich weiter.

            Weitere Tools des Bedrohungsakteurs

            Zusätzlich zur Serpent-Hintertür hat Proofpoint weitere Payloads entdeckt, die von demselben Host bereitgestellt werden. Von besonderem Interesse ist die Verwendung einer nach Ansicht von Proofpoint „neuartigen Anwendung der signierten binären Proxy-Ausführung mit schtasks.exe“, um Erkennungen zu umgehen. Der Befehl ist wiederum mittels Steganographie in einem Bild enthalten. Es nutzt schtasks.exe, um eine einmalige Aufgabe zum Aufrufen einer portablen ausführbaren Datei zu erstellen. Der Auslöser für diese Aufgabe ist abhängig von der Erstellung eines Windows-Ereignisses mit der EventID von 777. Der Befehl erstellt dann ein Dummy-Ereignis, um die Aufgabe auszulösen, und löscht die Aufgabe aus dem Aufgabenplaner. Diese besondere Anwendung der Aufgabenlogik führt dazu, dass die portable ausführbare Datei als untergeordneter Prozess von taskhostsw.exe ausgeführt wird, einer signierten Windows-Binärdatei.

            Ein einzigartiger Bedrohungsakteur

            Die Installation von Chocolatey- und Python-Tools kann sehr hilfreich sein Der Angriff soll unter dem Radar bleiben, da die Tools legitim sind und wahrscheinlich keinen Alarm auslösen.

            Darüber hinaus beobachtet Proofpoint selten Steganographie in Kampagnen. Das letzte gefundene Tool, das schtasks.exe verwendet, ist ebenfalls einzigartig und bisher unbeobachtet.

            Außerdem ist die Art und Weise, wie das Tor-Netzwerk verwendet wird, ungewöhnlich und erschwert es um die Bedrohung zu stoppen, da der Standort des endgültigen Servers unbekannt ist und nicht einfach heruntergefahren werden kann.

            Das letztendliche Ziel dieses Bedrohungsakteurs ist unbekannt. Ein infizierter Computer kann zu Datendiebstahl, Installation und Ausführung zusätzlicher Payloads oder zur Kontrolle des infizierten Hosts führen.

            So schützen Sie sich vor dieser Bedrohung

            Proofpoint bietet mehrere Kompromittierungsindikatoren (IOCs), die zur Verbesserung der Erkennung und zur Vermeidung von Stürzen verwendet werden sollten für diese Bedrohung.

            Insbesondere sollten die Netzwerkverbindungen im Zusammenhang mit dieser Bedrohung blockiert werden.

          Offenlegung: 936338884Image: Proofpoint. RGPD-themed Microsoft Word document sent by the attackers. (RGPD is the GDPR) Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine.

Bild von wkadmin

wkadmin

Ähnliche Artikel

Bild von Die NASA teilt unglaubliche Bilder von kosmischen Lichtern und betäubt Sterngucker

Die NASA teilt unglaubliche Bilder von kosmischen Lichtern und betäubt Sterngucker

Februar 6, 2022
Bild von Indiens Waldbedeckung zeigt weiterhin steigende Tendenz: Bericht

Indiens Waldbedeckung zeigt weiterhin steigende Tendenz: Bericht

Januar 17, 2022
Bild von Das revolutionäre James-Webb-Weltraumteleskop der NASA soll heute gestartet werden; Überprüfen Sie die Details hier

Das revolutionäre James-Webb-Weltraumteleskop der NASA soll heute gestartet werden; Überprüfen Sie die Details hier

Januar 17, 2022
Bild von So migrieren Sie Safari-Informationen zu Microsoft Edge auf einem Mac

So migrieren Sie Safari-Informationen zu Microsoft Edge auf einem Mac

März 18, 2022
Schaltfläche "Zurück zum Anfang"