Serpent Backdoor Trojan

Cybersicherheitsexperten haben eine sehr gezielte Angriffskampagne gegen französische Unternehmen aufgedeckt, die in den Bereichen Immobilien, Bauwesen und Behörden tätig sind. Die bedrohlichen Operationen setzten schließlich eine zuvor unbekannte Backdoor-Bedrohung namens Serpent Backdoor Trojan ein. Details zur Malware und der Angriffskette wurden in einem Bericht von Sicherheitsforschern veröffentlicht.

Die Ziele der Bedrohungsakteure bleiben unbekannt, aber die Serpent Backdoor kann verschiedene Eingriffe auf den angegriffenen Computern durchführen. Der Trojaner bietet Fernzugriff auf das Gerät, kontaktiert einen Command-and-Control-Server (C2, C&C) und kann angewiesen werden, Daten zu stehlen oder zusätzliche beschädigte Payloads zu liefern.

Eine komplexe Angriffskette

Nach den Erkenntnissen der Forscher wurde die Serpent Backdoor als letzter Schritt in einer Angriffskette an die Zielsysteme geliefert, die mehrere neue oder selten verwendete Techniken umfasste. Zunächst verbreiteten die Angreifer an die ahnungslosen Opfer Köder-E-Mails, die sich als Lebensläufe oder Dokumente im Zusammenhang mit der DSGVO (EU-Datenschutz-Grundverordnung) ausgaben. Die E-Mails enthielten ein Köder-Microsoft-Word-Dokument mit kompromittierten Makros.

Das Öffnen des Dokuments löst das Makro aus, das fortfährt, ein base64-codiertes PowerShell-Skript abzurufen. Das Skript wird über Steganografie in ein Bild eingefügt. Das PowerShell-Skript ruft ein Chocolatey-Installationspaket ab, installiert und aktualisiert es. Dies ist das erste Mal, dass Forscher die Verwendung des legitimen Softwaremanagement-Automatisierungstools Chocolatey als Teil einer Angriffskampagne beobachtet haben.

Chocolatey wird verwendet, um Python auf dem Gerät zu installieren, einschließlich des Pip-Paketinstallationsprogramms. Seine Aufgabe besteht wiederum darin, zahlreiche Abhängigkeiten zu installieren, beispielsweise PySocks, mit dem Benutzer den Datenverkehr über SOCKS- und HTTP-Proxy-Server umleiten können. Der nächste Schritt beinhaltet wiederum die Extraktion von Daten, die in einem Bild verborgen sind, mittels Steganographie. Dieses Mal wird ein Python-Skript extrahiert und dann als MicrosoftSecurityUpdate.py auf dem Computer des Opfers gespeichert. Die Angriffskette wird abgeschlossen, nachdem ein Befehl ausgeführt wird, der auf eine verkürzte URL verweist, die zur Hilfewebsite von Microsoft Office führt.