Serpent Backdoor Trojan

不動産、建設、政府部門で活動しているフランス企業に対する非常に標的を絞った攻撃キャンペーンが、サイバーセキュリティの専門家によって発見されました。脅威を与える操作は、最終的に、SerpentBackdoorTrojanという名前のこれまで知られていなかったバックドアの脅威を展開しました。マルウェアと攻撃チェーンの詳細は、セキュリティ研究者によるレポートで公開されました。

脅威アクターの目標は不明なままですが、Serpent Backdoorは、侵害されたマシンに対してさまざまな侵入アクションを実行できます。このトロイの木馬は、デバイスへのリモートアクセスを提供し、コマンドアンドコントロール（C2、C＆C）サーバーに接続し、データの盗難を実行するか、追加の破損したペイロードを配信するように指示できます。

複雑な攻撃チェーン

研究者の調査結果によると、Serpent Backdoorは、いくつかの新しい技術またはめったに使用されない技術を含む攻撃チェーンの最終ステップとして、標的のシステムに配信されました。まず、攻撃者は、仕事の履歴書またはGDPR（EUの一般データ保護規則）に関連する文書を装ったルアーメールを無防備な被害者に配布しました。電子メールには、侵害されたマクロを含む餌のMicrosoftWord文書が含まれていました。

ドキュメントを開くとマクロがトリガーされ、base64でエンコードされたPowerShellスクリプトが取得されます。スクリプトは、ステガノグラフィを介して画像に挿入されます。 PowerShellスクリプトは、Chocolateyインストーラーパッケージをフェッチ、インストール、および更新します。研究者が攻撃キャンペーンの一環として合法的なソフトウェア管理自動化ツールChocolateyの使用を観察したのはこれが初めてです。

Chocolateyは、pipパッケージインストーラーを含むデバイスにPythonをインストールするために使用されます。次に、そのタスクは、ユーザーがSOCKSおよびHTTPプロキシサーバーを介してトラフィックを迂回できるようにするPySocksなどの多数の依存関係をインストールすることです。次のステップでも、ステガノグラフィを介して画像に隠されたデータを抽出します。今回は、Pythonスクリプトが抽出され、被害者のマシンにMicrosoftSecurityUpdate.pyとして保存されます。攻撃チェーンは、MicrosoftOfficeヘルプWebサイトにつながる短縮URLを指すコマンドが実行された後に完了します。