Proofpoint: attenzione alla backdoor Serpent

redazione

I ricercatori Proofpoint hanno osservato una nuova attività mirata che ha colpito entità francesi nei settori dell’edilizia e del governo. L’attore della minaccia ha utilizzato documenti Microsoft Word con macro per distribuire il pacchetto di installazione Chocolatey, un installer di pacchetti open-source. Varie parti della macro VBA includono la seguente grafica ASCII e raffigurano un serpente come quello raffigurato di seguito.

A picture containing chart

Description automatically generated

L’attore della minaccia ha tentato di installare una backdoor sul dispositivo di una potenziale vittima, che potrebbe abilitare gestione remota, comando e controllo (C2), furto di dati o consegnare malware aggiuntivi. Proofpoint si riferisce a questa backdoor come Serpent. L’obiettivo finale dell’attore della minaccia è attualmente sconosciuto.

Come spiega Sherrod DeGrippo, Vice President Threat Research and Detection di Proofpoint: “Quando le macro sono abilitate, il contenuto dannoso viene caricato automaticamente in background in modo che un destinatario non veda l’attività sul suo schermo. Per esempio, con l’immagine swiper, PowerShell chiama il jpg per ottenere i dati offuscati ed esegue i comandi successivi senza avvertire l’utente dell’attività in corso o mostrare alla vittima lo stesso jpg. Elemento degno di nota in questa catena di attacchi è che molti degli strumenti utilizzati come Powershell, Chocolatey e PySocks sono tool legittimi che potrebbero essere trovati regolarmente su un host.”

I dettagli della campagna

Nella campagna osservata, i messaggi sono in francese, con mittenti e oggetti come I seguenti:

From: “Jeanne” <jeanne.vrakele@gmail[.]com>

Subject “Candidature – Jeanne Vrakele”

I messaggi contengono un documento Microsoft Word abilitato alle macro, mascherato da informazioni relative al GDPR, il Regolamento generale sulla protezione dei dati dell’Unione europea – RGPD in francese.

Graphical user interface, application, Word

Description automatically generated

Immagine: esca a tema GDPR

Quando le macro vengono abilitate, il documento esegue quella macro, che raggiunge un URL di immagine, ad esempio, https://www.fhccu[.]com/images/ship3[.]jpg, contenente uno script PowerShell codificato in base64 nascosto nell’immagine usando la steganografia. Lo script PowerShell prima scarica, installa e aggiorna il pacchetto di installazione Chocolatey e lo script del repository. Chocolatey è uno strumento di software management automation per Windows che racchiude installatori, eseguibili, zip e script in pacchetti compilati, simili a Homebrew per OSX. Il software fornisce sia versioni open-source che a pagamento con vari livelli di funzionalità. Proofpoint non aveva precedentemente osservato alcun attore di minacce utilizzare Chocolatey nelle proprie campagne.

Lo script usa poi Chocolatey per installare Python, incluso l’installatore di pacchetti pip Python, che poi usa per installare varie dipendenze tra cui PySocks, un client reverse proxy basato su Python che permette agli utenti di inviare traffico attraverso SOCKS e server proxy HTTP.

Successivamente, lo script recupera un altro file immagine, ad esempio https://www.fhccu[.]com/images/7[.]jpg, che contiene uno script Python codificato in base64 e nascosto utilizzando la steganografia, e salva lo script Python come MicrosoftSecurityUpdate.py. Lo script, quindi, crea ed esegue un file .bat che a sua volta esegue lo script Python.

La catena di attacco termina con un comando ad un URL abbreviato che reindirizza al sito web della guida di Microsoft Office.