Forscher haben eine neue gezielte E-Mail-Kampagne aufgedeckt, die auf französische Unternehmen im Bau-, Immobilien- und Regierungssektor abzielt und den Chocolatey Windows-Paketmanager nutzt, um eine Backdoor namens Serpent auf kompromittierte Systeme zu bringen.
Die Sicherheitsfirma Proofpoint schreibt die Angriffe aufgrund der Taktik und der beobachteten Opfermuster wahrscheinlich einem fortgeschrittenen Bedrohungsakteur zu. Das eigentliche Ziel der Kampagne ist derzeit noch unbekannt.
„Der Bedrohungsakteur versuchte, eine Backdoor auf dem Gerät eines potenziellen Opfers zu installieren, die eine Fernadministration, Command and Control (C2), Datendiebstahl oder andere zusätzliche Nutzlasten ermöglichen könnte“, so die Forscher von Proofpoint in einem Bericht an The Hacker News.
Der Phishing-Köder, der die Infektionssequenz auslöst, verwendet eine Betreffzeile mit dem Thema „Lebenslauf“. Das angehängte Makro, das in ein Microsoft Word-Dokument eingebettet ist, gibt sich als Information über die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) aus.
Wenn du die Makros aktivierst, wird eine scheinbar harmlose Bilddatei auf einem entfernten Server abgerufen, die aber in Wirklichkeit ein Base64-kodiertes PowerShell-Skript enthält, das mithilfe von Steganografie verschleiert wird, einer wenig verbreiteten Methode, mit der bösartiger Code in einem Bild oder Ton versteckt wird, um die Entdeckung zu umgehen.
Das PowerShell-Skript wiederum dient dazu, das Dienstprogramm Chocolatey auf dem Windows-Rechner zu installieren, das dann zur Installation des Python-Paket-Installationsprogramms pip verwendet wird, das wiederum die Proxy-Bibliothek PySocks installiert.
Über dasselbe PowerShell-Skript wird auch eine weitere Image-Datei vom selben Remote-Server abgerufen, die die getarnte Python-Backdoor namens Serpent enthält, mit der Befehle ausgeführt werden können, die vom C2-Server übertragen werden.
Zusätzlich zur Steganografie ist die Verwendung von weithin bekannten Tools wie Chocolatey als anfängliche Nutzlast für die nachfolgende Verbreitung echter Python-Pakete ein Versuch, unter dem Radar zu bleiben und nicht als Bedrohung erkannt zu werden, so Proofpoint.
Die Angriffe wurden nicht mit einem zuvor identifizierten Akteur oder einer Gruppe in Verbindung gebracht, aber es wird vermutet, dass es sich um die Arbeit einer ausgeklügelten Hackergruppe handelt.
„Dies ist eine neuartige Anwendung einer Reihe von Technologien, die oft rechtmäßig in Unternehmen eingesetzt werden“, sagte Sherrod DeGrippo, Vice President of Threat Research and Detection bei Proofpoint, in einer Stellungnahme.
„Sie macht sich den Wunsch vieler Organisationen, insbesondere technischer Gruppen, zunutze, ihren Nutzern die Möglichkeit zu geben, sich selbst zu versorgen und Pakete zu verwalten. Außerdem ist die Verwendung von Steganografie ungewöhnlich und etwas, das wir nicht regelmäßig sehen.“