Les chercheurs ont dévoilé une nouvelle campagne d’e-mails ciblée destinée aux entités françaises des secteurs de la construction, de l’immobilier et du gouvernement qui exploite le gestionnaire de packages Chocolatey Windows pour fournir une porte dérobée appelée Serpent sur les systèmes compromis.
La société de sécurité d’entreprise Proofpoint a attribué les attaques à un acteur de menace avancé probable sur la base des tactiques et des schémas de victimologie observés. L’objectif ultime de la campagne reste actuellement inconnu.
« L’acteur de la menace a tenté d’installer une porte dérobée sur l’appareil d’une victime potentielle, ce qui pourrait permettre l’administration à distance, la commande et le contrôle (C2), le vol de données ou fournir d’autres charges utiles supplémentaires », ont déclaré les chercheurs de Proofpoint. mentionné dans un rapport partagé avec The Hacker News.
L’appât du phishing qui déclenche la séquence d’infection utilise une ligne d’objet sur le thème du curriculum vitae, le document Microsoft Word intégré à la macro ci-joint se faisant passer pour des informations relatives au Règlement général sur la protection des données (RGPD) de l’Union européenne.
L’activation des macros entraîne son exécution, qui récupère un fichier image apparemment inoffensif hébergé sur un serveur distant mais contient en fait un script PowerShell encodé en Base64 qui est obscurci à l’aide de la stéganographie, une méthode peu utilisée pour dissimuler le code malveillant dans une image ou un son dans l’ordre pour contourner la détection.
Le script PowerShell, à son tour, est conçu pour installer le Utilité chocolatée sur la machine Windows, qui est ensuite utilisée pour installer le programme d’installation du package Python pépince dernier servant de conduit pour installer le PySocks bibliothèque proxy.
Le même script PowerShell récupère également un autre fichier image du même serveur distant qui inclut la porte dérobée Python camouflée appelée Serpent, qui permet d’exécuter des commandes transmises depuis le serveur C2.
En plus de la stéganographie, l’utilisation d’outils largement reconnus tels que Chocolatey comme charge utile initiale pour le déploiement ultérieur de packages Python authentiques est une tentative de rester sous le radar et de ne pas être signalé comme une menace, a déclaré Proofpoint.
Les attaques n’ont pas révélé d’associations avec un acteur ou un groupe précédemment identifié, mais sont soupçonnées d’être l’œuvre d’une équipe de piratage sophistiquée.
« Il s’agit d’une nouvelle application d’une variété de technologies qui sont souvent utilisées légitimement au sein des organisations », a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, dans un communiqué.
« Il capitalise sur le désir de nombreuses organisations, en particulier les groupes techniques, de permettre à leurs utilisateurs d’être » autonomes « en ce qui concerne l’auto-outillage et les gestionnaires de packages. De plus, l’utilisation de la stéganographie est inhabituelle et quelque chose que nous ne voyons pas régulièrement . »