Detección de Serpent Backdoor: un Nuevo Malware Sigiloso Afecta a Entidades Francesas

[post-views]
marzo 25, 2022 · 3 min de lectura
Detección de Serpent Backdoor: un Nuevo Malware Sigiloso Afecta a Entidades Francesas

Se ha observado un nuevo malware dirigido atacando entidades gubernamentales y de construcción en Francia. Proofpoint llevó a cabo una extensa investigación del malware denominado Serpent

Análisis de Serpent Backdoor mostró que los adversarios han estado utilizando varios comportamientos inusuales que nunca antes se habían detectado. Esto requiere crear contenido de detección nuevo que capture específicamente esas nuevas técnicas de evasión de defensas. Descubre nuestra nueva perspectiva sobre la detección del malware backdoor Serpent y mantente por delante de la nueva amenaza.

Detecta Serpent Backdoor: Cómo Identificar Actividades Sospechosas

Esta regla creada por nuestro desarrollador de Threat Bounty Emir Erdogan detecta comportamientos sospechosos cuando una carga útil crea una tarea de una sola vez para llamar a PE, crea un evento para activarlo y luego elimina la tarea.

Al iniciar sesión en su cuenta de SOC Prime (o crear una nueva si aún no la tiene), puede acceder al código en formatos Sigma y específicos de proveedor, así como a los datos de inteligencia asociados con el backdoor rastreado como Serpent.

Suspicious Serpent Backdoor Defense Evasion by Using Bypass Method with Scheduled Task (via cmdline)

Esta regla se traduce en los siguientes formatos SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la Ejecución de Proxies de Binarios Firmados como técnica principal.

Accede a miles de otras valiosas reglas de detección en nuestra plataforma de Detección como Código pulsando el botón a continuación. Además, si eres un investigador de ciberseguridad experimentado o un ingeniero de detección, puedes compartir tus valiosos conocimientos enviando tu contenido a nuestro Programa de Recompensas de Amenazas y obtener incentivos monetarios por ello.

Ver Detecciones Únete a Threat Bounty

Cadena de Ataque Escurridiza de Serpent

En la primera etapa del ataque, los correos electrónicos de phishing dirigido entregan documentos de Microsoft Word habilitados con macros que contienen un gestor de paquetes Chocolatey para Windows con cargas maliciosas ocultas en su interior. En algunos lugares, las macros VBA representan una serpiente utilizando codificación ASCII, por eso los investigadores se refieren a este backdoor como Serpent.

El archivo defectuoso de Microsoft Word se hace pasar por una documentación de GDPR, por lo tanto, las víctimas rara vez sospechan algo inusual. La ejecución de macros lleva a una URL de imagen que contiene un script PowerShell en base64 disfrazado con la ayuda de esteganografía.

El instalador del paquete Chocolatey es algo nuevo que no se había observado en ejecuciones de cadenas de ataque antes. Es una herramienta de automatización legítima para Windows que compila paquetes a partir de archivos ZIP separados, scripts, instaladores y archivos EXE. Los atacantes usan Chocolatey para descargar e instalar el backdoor Serpent en un dispositivo del usuario. Este malware permitiría la administración remota, el acceso a servidores C&C, el robo de datos y la instalación de otras cargas útiles también.

En la siguiente etapa, Chocolatey también instala un montón de dependencias de Python para que el backdoor Serpent controle remotamente los sistemas. Por ejemplo, un instalador de paquetes Python pip instala el cliente proxy PySocks, recibe otro script oculto por esteganografía a través de una URL de imagen, que al ejecutarse crea un archivo BAT, que también ejecuta un script Python.

Los investigadores de Proofpoint no especificaron los objetivos de este ataque pero mencionaron que la evidencia disponible de múltiples comportamientos únicos apunta a un ataque dirigido avanzado.

Mientras los ciberataques como este se vuelven cada vez más sofisticados, para las organizaciones individuales se vuelve más difícil enfrentar esta lucha por su cuenta. Una solución viable es aprovechar los beneficios de un enfoque de defensa colaborativa uniéndose a la plataforma de Detección como Código de SOC Prime .

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias