Serpent Backdoor Trojan

Une campagne d'attaques très ciblées contre des entreprises françaises opérant dans les secteurs de l'immobilier, de la construction et du gouvernement a été découverte par des experts en cybersécurité. Les opérations menaçantes ont finalement déployé une menace de porte dérobée jusque-là inconnue appelée le cheval de Troie Serpent Backdoor. Des détails sur le logiciel malveillant et la chaîne d'attaque ont été publiés dans un rapport de chercheurs en sécurité.

Les objectifs des acteurs de la menace restent inconnus, mais le Serpent Backdoor peut effectuer diverses actions intrusives sur les machines piratées. Le cheval de Troie fournit un accès à distance à l'appareil, contacte un serveur de commande et de contrôle (C2, C&C) et peut être chargé d'effectuer un vol de données ou de fournir des charges utiles corrompues supplémentaires.

Une chaîne d'attaque complexe

Selon les conclusions des chercheurs, le Serpent Backdoor a été livré aux systèmes ciblés comme la dernière étape d'une chaîne d'attaque impliquant plusieurs techniques nouvelles ou rarement utilisées. Tout d'abord, les attaquants ont diffusé des e-mails leurres se faisant passer pour des CV ou des documents liés au RGPD (Règlement général sur la protection des données de l'UE) aux victimes sans méfiance. Les e-mails contenaient un document appât Microsoft Word avec des macros compromises.

L'ouverture du document déclenche la macro, qui procède à l'obtention d'un script PowerShell encodé en base64. Le script est injecté dans une image via la stéganographie. Le script PowerShell récupère, installe et met à jour un package d'installation Chocolatey. C'est la première fois que des chercheurs observent l'utilisation de l'outil légitime d'automatisation de la gestion des logiciels Chocolatey dans le cadre d'une campagne d'attaque.

Chocolatey est utilisé pour installer Python sur l'appareil, y compris le programme d'installation du package pip. À son tour, sa tâche consiste à installer de nombreuses dépendances, telles que PySocks, qui permet aux utilisateurs de détourner le trafic via les serveurs proxy SOCKS et HTTP. L'étape suivante, encore une fois, consiste à extraire des données cachées dans une image via la stéganographie. Cette fois, un script Python est extrait puis enregistré sur la machine de la victime sous le nom MicrosoftSecurityUpdate.py. La chaîne d'attaque est terminée après l'exécution d'une commande pointant vers une URL raccourcie menant au site Web d'aide de Microsoft Office.