Onderzoekers hebben een nieuwe gerichte e-mailcampagne aan het licht gebracht die gericht is op Franse entiteiten in de bouw-, vastgoed- en overheidssectoren en die gebruikmaakt van de Chocolatey Windows-pakketbeheerder om een achterdeur genaamd Slang op gecompromitteerde systemen.
Enterprise-beveiligingsbedrijf Proofpoint schreef de aanvallen toe aan een waarschijnlijk geavanceerde bedreigingsacteur op basis van de waargenomen tactieken en slachtofferpatronen. Het uiteindelijke doel van de campagne blijft op dit moment onbekend.
“De dreigingsactor probeerde een achterdeur te installeren op het apparaat van een potentieel slachtoffer, wat beheer op afstand, commando en controle (C2), gegevensdiefstal of andere extra payloads mogelijk zou maken,” Proofpoint-onderzoekers zei in een rapport gedeeld met The Hacker News.
Het phishing-lokmiddel dat de infectiesequentie veroorzaakt, maakt gebruik van een onderwerpregel met een cv-thema, waarbij het bijgevoegde macro-ingebedde Microsoft Word-document zich voordoet als informatie met betrekking tot de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
Het inschakelen van de macro’s resulteert in de uitvoering ervan, waarbij een schijnbaar onschadelijk afbeeldingsbestand wordt opgehaald dat wordt gehost op een externe server, maar dat in feite een Base64-gecodeerd PowerShell-script bevat dat wordt verdoezeld met steganografie, een weinig gebruikte methode om kwaadaardige code in een afbeelding of audio in volgorde te verbergen detectie te omzeilen.
Het PowerShell-script is op zijn beurt ontworpen om de Chocolade nut op de Windows-machine, die vervolgens wordt gebruikt om het Python-pakketinstallatieprogramma te installeren Pipwaarvan de laatste fungeert als kanaal om de te installeren PySocks proxy-bibliotheek.
Ook opgehaald door hetzelfde PowerShell-script is een ander afbeeldingsbestand van dezelfde externe server dat de gecamoufleerde Python-achterdeur genaamd Serpent bevat, die wordt geleverd met mogelijkheden om opdrachten uit te voeren die worden verzonden vanaf de C2-server.
Naast steganografie is het gebruik van algemeen erkende tools zoals Chocolatey als een initiële payload voor de daaropvolgende implementatie van echte Python-pakketten een poging om onder de radar te blijven en niet als een bedreiging te worden aangemerkt, zei Proofpoint.
De aanvallen hebben geen associaties met een eerder geïdentificeerde acteur of groep blootgelegd, maar zijn vermoedelijk het werk van een geavanceerde hackploeg.
“Dit is een nieuwe toepassing van een verscheidenheid aan technologieën die vaak legitiem worden gebruikt binnen organisaties”, zei Sherrod DeGrippo, vice-president van dreigingsonderzoek en -detectie bij Proofpoint, in een verklaring.
“Het speelt in op de wens van veel organisaties, met name technische groepen, om hun gebruikers ‘zelfvoorzienend’ te laten zijn met betrekking tot zelftooling en pakketbeheerders. Bovendien is het gebruik van steganografie ongebruikelijk en iets dat we niet regelmatig zien .”
