Rilevamento del Backdoor Serpent: un nuovo malware furtivo colpisce entità francesi
Indice:
È stato osservato un nuovo malware mirato che attacca entità governative e di costruzione in Francia. Proofpoint ha condotto una vasta ricerca del malware denominato Serpent.
Analisi del Serpent Backdoor ha mostrato che gli avversari hanno utilizzato diversi comportamenti insoliti mai rilevati prima. Questo richiede la creazione di nuovi contenuti di rilevazione che catturino specificamente queste nuove tecniche di evasione della difesa. Approfondisci il nostro nuovo approccio al rilevamento del malware Serpent backdoor e rimani avanti rispetto alla nuova minaccia.
Rilevamento di Serpent Backdoor: Come Identificare Attività Sospette
Questa regola creata dal nostro sviluppatore Threat Bounty Emir Erdogan rileva comportamenti sospetti quando un payload crea un task una-tantum per chiamare PE, crea un evento per attivare e poi cancella il task.
Dopo il login nel tuo account SOC Prime (o creando uno nuovo se non lo hai ancora), puoi accedere al codice in formati Sigma e specifici del fornitore, così come ai dati di intelligence associati al backdoor tracciato come Serpent..
Questa regola è tradotta nei seguenti formati SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando l’Esecuzione Proxy Binary Firmata come tecnica principale.
Accedi a migliaia di altre preziose regole di rilevamento sulla nostra piattaforma Detection as Code premendo il pulsante qui sotto. Inoltre, se sei un ricercatore informatico esperto o un ingegnere di rilevamento, puoi condividere le tue preziose intuizioni inviando i tuoi contenuti al nostro Programma Threat Bounty e ricevendo incentivi monetari per essi.
Visualizza Rilevazioni Unisciti a Threat Bounty
Catena di Attacco Scivolosa di Serpent
Nella prima fase dell’attacco, email di spearfishing consegnano documenti Microsoft Word abilitati per macro che contengono un gestore pacchetti Chocolatey per Windows con payload dannosi nascosti al suo interno. In alcuni punti, macro VBA raffigura un serpente utilizzando la codifica ASCII, per questo i ricercatori si riferiscono a questo backdoor come Serpent.
Il file Microsoft Word difettoso si maschera da documentazione GDPR, quindi di conseguenza, le vittime raramente sospettano qualcosa di insolito. L’esecuzione della macro porta a un URL immagine che contiene uno script PowerShell codificato in base64 camuffato con l’aiuto della steganografia.
Il programma di installazione del pacchetto Chocolatey è qualcosa di nuovo che non era mai stato osservato nelle esecuzioni della catena di attacco prima. È uno strumento di automazione legittimo per Windows che compila pacchetti da archivi ZIP separati, script, installer e file EXE. Gli aggressori usano Chocolatey per scaricare e installare il Serpent backdoor sul dispositivo di un utente. Questo malware permetterebbe l’amministrazione remota, l’accesso ai server C&C, il furto di dati e l’installazione di altri payload.
Nella fase successiva, Chocolatey installa anche una serie di dipendenze Python per il serpent backdoor per controllare i sistemi da remoto. Ad esempio, un programma di installazione pacchetti Python pip installa il client proxy PySocks, riceve un altro script nascosto tramite steganografia via URL immagine, che all’esecuzione crea un file BAT, che esegue anche uno script Python.
I ricercatori di Proofpoint non hanno specificato gli obiettivi di questo attacco ma hanno menzionato che le prove disponibili di più comportamenti unici indicano un attacco mirato avanzato.
Mentre attacchi informatici come questo stanno diventando sempre più sofisticati, per le singole organizzazioni diventa più difficile sostenere questa lotta da sole. Una soluzione praticabile è sfruttare i vantaggi di un approccio di difesa collaborativo unendosi alla piattaforma SOC Prime’s Detection as Code .
