Atacantes empregam novos métodos para backdoor organizações francesas

Views: 190
0 0
Read Time:1 Minute, 38 Second

Um ator de ameaças avançadas foi visto usando métodos distintos e novos para apoiar entidades francesas na construção, imobiliário e indústrias governamentais.

métodos backdoor

Como o ataque se desenrola

O ataque começa com uma técnica bem conhecida – e-mails contendo um documento do Microsoft Word habilitado para macroequipamento disfarçado de informação relacionada ao GDPR – e acaba com uma tentativa de instalar um backdoor em sistemas de destino. O que acontece entre esses passos, no entanto, é o que torna esses ataques interessantes.

métodos backdoor

Os destinatários direcionados que baixam o documento do Word anexado e ativam macros desencadeiam uma cadeia de ações envolvendo:

  • Scripts PowerShell e Python escondidos em imagens baixadas de um site comprometido da cooperativa de crédito jamaicana
  • O download e o uso do Chocolatey, uma ferramenta de automação de gerenciamento de software para Windows que envolve instaladores, executáveis, zips e scripts em pacotes compilados
  • A instalação do Python, do instalador de pacotes Pip Python e do PySocks (um cliente proxy reverso que permite que os usuários enviem tráfego através de servidores proxy SOCKS e HTTP)
  • O backdoor “Serpent”, que possui o nome da arte ASCII na macro VBA

Os pesquisadores Bryan Campbell, Zachary Abzug, Andrew Northern e Selena Larson dizem que esta é a primeira vez que eles observam um ator de ameaças usar Chocolatey em campanhas, e que a esteganografia é, em geral, raramente usada por atacantes.

“Além das imagens usadas nesta cadeia de ataque, [nós] observamos e identificamos cargas adicionais sendo servidas do mesmo hospedeiro. Um dos interesses particulares é utilizar o que o Proofpoint acredita ser uma nova aplicação de execução de proxy binário assinado usando schtasks.exe”, acrescentaram. “Notavelmente, esta é uma tentativa de contornar a detecção por medidas defensivas.”

Os pesquisadores não foram capazes de associar essas campanhas a nenhum grupo conhecido, mas as novas técnicas e o direcionamento específico apontam para um ator de ameaça avançada, cujos objetivos finais não podem ser discernidos neste momento.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL