新的 Serpent 惡意軟件使用不尋常的滲透策略

安全研究人員發現了最近一次傳播一種名為 Serpent 的新型惡意軟件的活動。用於滲透其受害者的工具和方法使 Serpent 與更多的普通惡意軟件區分開來。

安全公司 Proofpoint 的一個研究團隊跟踪將 Serpent 傳播到法國目標的惡意軟件活動。該團隊將 Serpent 描述為使用不尋常策略的“高級”惡意軟件。

蛇開始無聊，演變成不尋常的

Serpent 惡意軟件正在使用電子郵件誘餌和普通惡意文件進行傳播，以傳遞其有效負載。這不是事情變得有趣的地方。然而，在最初的穿透點和交付最終有效載荷之間，Serpent 會進行大量的繞行以避免被發現，並使用研究人員表示他們以前從未遇到過的策略。

Serpent 以一種非常普通的方式開始其感染鏈 - 包含誘餌和惡意附件的電子郵件，其中包含 VB 宏。惡意電子郵件的標題和正文中使用的社會工程誘餌使用歐盟通用數據保護條例。

宏執行後，它會點擊一個看似圖像但使用隱寫術在其數據中隱藏 PowerShell 腳本的 URL。該腳本使用 base64 進一步編碼。

該腳本所做的第一件事是下載並安裝 Chocolatey——一個在 Windows 上運行的軟件自動化工具，用於生成可執行文件的包裝器。此時沒有惡意負載 - Chocolatey 下載是一個合法工具，幾乎可以肯定會繞過自動安全性。

Chocolatey 用於安裝 Python 和一個名為 pip 的特定組件，用於包管理。下一步是在目標系統上安裝不同的依賴項，包括允許通過代理服務器傳輸數據的依賴項。

相同的 PowerShell 腳本命中另一個圖像 URL，再次使用隱寫術隱藏 Python 腳本，再次以 base64 編碼。該腳本被命名為模仿 Microsoft 安全組件，名稱為“MicrosoftSecurityUpdate.py”。 Python 腳本依次通過原始 PowerShell 腳本創建的批處理文件執行。

惡意軟件的進一步行為也更傳統，但不尋常的策略和安裝幾個合法工具以促進最終有效載荷的交付使 Serpent 值得注意。最終的有效載荷也是一種獨特的新惡意軟件。