Backdoor “Serpent” tấn công vào các cơ quan của Pháp

Có tên là Serpent, được triển khai dưới dạng tập lệnh Python, cửa hậu này cho phép những kẻ tấn công điều khiển từ xa các hệ thống bị lây nhiễm, trích xuất dữ liệu, tải xuống và thực thi các payload (phần dữ liệu được truyền đi của một gói tin) bổ sung.

Theo những gì quan sát được trong các cuộc tấn công, Proofpoint thấy tin tặc sử dụng trình quản lý gói mã nguồn mở Chocolatey để cài đặt Serpent và các công cụ cần thiết khác để thực hiện hành vi xâm phạm.

Theo tài liệu của Proofpoint, các cuộc tấn công bắt đầu bằng các email lừa đảo gắn các tài liệu Microsoft Word có sử dụng macro nhằm triển khai Chocolatey trên máy của nạn nhân.

Chúng sử dụng một số chủ đề và trong quy định của luật EU về bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong Liên minh châu Âu (GDPR) để lừa các nạn nhân mở tài liệu và bật macro.

Khi được thực thi, macro sẽ tiếp cận với một hình ảnh có chứa tập lệnh PowerShell được ẩn bên trong bằng kỹ thuật ẩn. Tập lệnh được thiết kế để cài đặt và cập nhật tập lệnh lưu trữ và gói cài đặt Chocolatey.

Chocolatey đã bị lạm dụng để cài đặt Python và trình cài đặt trình quản lý các gói (pip) Python sau đó được sử dụng để cài đặt các thành phần phụ thuộc khác nhau, bao gồm cả reverse proxy (một loại proxy sever) khách dựa trên Python.

Tiếp theo, một tập lệnh Python được tải xuống từ một tệp hình ảnh khác và được lưu dưới dạng MicrosoftSecurityUpdate.py và một tệp .bat được tạo ra để chạy tập lệnh Python, đây chính là backdoor Serpent.

Là một phần của các cuộc tấn công, tác nhân đe dọa cũng sử dụng schtasks.exe để chạy các tệp tin thực thi di động, một kỹ thuật mà Proofpoint cho biết họ chưa từng quan sát thấy trước đây.

Proofpoint đã nhận ra các tải trọng bổ sung đang được phát tán từ máy chủ lưu trữ hai tệp hình ảnh. Các hành vi và việc nhắm mục tiêu cho thấy rằng có một tác nhân của tấn công APT đứng sau những sự cố này. Tuy nhiên, công ty bảo mật đã không quy kết các sự cố cho một nhóm đã biết.

Trong số các nạn nhân có nhiều tổ chức trong chính phủ, lĩnh vực xây dựng và bất động sản nhưng Proofpoint cho biết rằng mục đích của các cuộc tấn công vẫn chưa rõ ràng. "Mục tiêu cuối cùng của tác nhân đe doạ hiện chưa được biết rõ. Việc xâm phạm thành công sẽ cho phép chúng tiến hành nhiều hoạt động khác nhau, bao gồm ăn cắp thông tin, giành quyền kiểm soát máy chủ bị nhiễm hoặc cài đặt thêm các tải trọng khác"./.