Un nouveau backdoor cible des entités françaises via un installateur de paquets open-source

Une nouvelle campagne a été découverte. Elle exploite le gestionnaire de paquets Chocolatey de Windows pour ouvrir une porte dérobée appelée Snake sur les systèmes compromis.
L’objectif final de la campagne reste pour l’instant inconnu.

La société de sécurité d’entreprise Proofpoint a attribué les attaques à un acteur de type étatique ou paraétatique en se basant sur les tactiques et de la victimologie.

L’objectif ultime de la campagne reste actuellement inconnu.

“L’attaquant tente d’installer une backdoor sur l’appareil d’une victime potentielle, ce qui pourrait permettre l’administration à distance de l’appareil, d’exécuter des commandes et de contrôler l’appareil, ainsi que le vol de données de livrer d’autres informations utiles”.
Les chercheurs de Proofpoint ont déclaré dans un rapport partagé avec The Hacker News.

“L’appât” du phishing qui déclenche la séquence d’infection utilise une ligne d’objet sur le thème du CV, via un document Microsoft Word qui intégre une  macro le tout en se faisant passer pour des informations relatives au Règlement général sur la protection des données (RGPD) de l’Union européenne.

L’activation de la macro entraîne l’exécution de la séquence, qui récupère un fichier image apparemment inoffensif hébergé sur un serveur distant, mais qui contient en réalité un virus.
C’est un script PowerShell codé en base 64 et masqué par de la stéganographie
(dissimuler un code malveillant dans une image ou un fichier audio afin de
afin de contourner la détection humaine).

Le script PowerShell, quant à lui, est conçu pour installer l’utilitaire Chocolatey sur la machine Windows.
Windows, qui est ensuite utilisé pour installer le programme d’installation de paquets Python pip ce qui permet ensuite d’installer la bibliothèque proxy PySocks.

Le même script PowerShell récupère également un autre fichier image sur le même serveur distant qui comprend une porte dérobée Python camouflée, appelée Snake, capable d’exécuter des commandes transmises par le serveur.

En plus de la stéganographie, l’utilisation d’outils largement reconnus tels que Chocolatey comme gestionnaire pour le déploiement ultérieur de véritables paquets Python est une tentative de rester sous le radar et de ne pas être signalé comme une menace, a déclaré Proofpoint.

Les attaques n’ont pas permis d’établir de liens avec un acteur ou un groupe déjà identifié mais sont soupçonnées d’être l’œuvre une équipe de pirates sophistiqués voir para étatique.

“Il tire parti du désir de nombreuses organisations, et plus particulièrement des groupes techniques, de permettre à leurs utilisateurs d’être ‘autosuffisants’ en ce qui concerne l’outillage et les gestionnaires de paquets. De plus, l’utilisation de la
stéganographie est inhabituelle et quelque chose que nous ne voyons pas régulièrement.”

Source : The Hacker News