首页 > 安全 > 正文

蛇后门用高避免的攻击链针对法国实体

最后更新 :2022.03.22

针对法国实体的新电子邮件活动利用巧克力Windows包经理来交付蛇后门。

校对点研究人员揭示了一个有针对性的攻击,利用了开源包装安装者巧克力,以提供作为蛇的后门追踪。该活动针对建筑,房地产和政府行业的法国实体。 专家认为袭击是由复杂的威胁演员进行的攻击。

此时,专家无法确定活动的最终目标。威胁演员使用Serpent Backdoor来远程控制系统,窃取敏感数据并提供额外的恶意有效载荷。

网络钓鱼消息使用武器化的Microsoft Word文件伪装成与“RèglementGénéralra保护有关的信息”。Données(RGPD)“或欧盟一般数据保护法规(GDPR)。

在使诱饵文档中启用宏时,它从远程URL获取图像(例如,HTTPS://www.fhccu [。] com / images / ship3 [。] jpg),其中包含一个base64编码的powershell脚本使用隐写术的图像。

powershell脚本首先下载,安装和更新巧克力安装程序包和存储库 脚本。巧克力素是一种软件管理自动化工具,用于将安装程序,可执行文件,zips和脚本加入编译的软件包的Windows,类似于OSX的主机。通过校对点读取发布的帖子。该软件提供具有各种功能的开源和付费版本。校验点之前尚未观察到威胁演员在运动中使用巧克力。

接下来,脚本获取另一个映像文件(例如https://www.fhccu [。] com / im包含一个base64编码的python脚本的年龄/ 7 jpg也使用steganogoge隐藏,并将Python脚本保存为MicrosoftSecurityUpdate.py。然后脚本创建并执行.bat文件,反过来又执行python脚本,该文件是serpent backdoor。

恶意软件然后使用pysock连接到命令行Pastebin工具脚本,将输出粘贴到a垃圾箱,并收到垃圾箱的唯一URL。最后,恶意软件向“答案”服务器(第二洋葱[。]宠物URL)发送请求,包括标题中的主机名和BIN URL。继续报告。这允许攻击者通过“答案”URL来监视箱输出,并查看受感染的主机的响应是什么。123]在宏观和后续有效载荷中使用隐写术是独一无二的;校对int很少观察到竞选隐写术的使用。此外,使用Schtasks.exe执行任何所需便携式可执行文件的技术也是唯一的,以前通过校对点威胁研究人员未被观察。校对点不会将此威胁与已知的演员或组相关联。结束了报告。威胁演员的终极目标目前是未知的。成功的妥协将使威胁演员能够进行各种活动,包括窃取信息,获取受感染的主机的控制,或安装额外的有效载荷。

- END -

看更多