Pour gérer vos consentements :
Categories: Cybersécurité

Serpent : une backdoor qui cible la France par le canal open source

Stéganographie, Python et Chocolatey. Tous ces ingrédients sont au menu de Serpent. Proofpoint a donné ce nom à une backdoor qu’il dit dirigée contre des entités françaises des secteurs de la construction, de l’immobilier et du secteur gouvernemental.

À la racine, il y a une campagne de phishing. Avec des documents Word contenant une macro malveillante. Son exécution déclenche toute une chaîne d’actions que résume le schéma ci-dessous.

Dans les grandes lignes :

– La macro télécharge une image (.jpg) dans laquelle se cache un script PowerShell encodé en Base64

– Ce script télécharge et installe – sur les OS Windows – le gestionnaire de paquets Chocolatey

– Chocolatey lui-même installe un gestionnaire de paquets ; en l’occurrence, pip (celui du langage Python)

– pip est utilisé pour installer des dépendances, dont le proxy inversé PySocks

– Le script PowerShell récupère une autre image qui contient elle-même un script Python ; script enregistré sous le nom MicrosoftSecurityUpdate.py et exécuté indirectement, par l’intermédiaire d’un fichier batch

– En bout de chaîne, l’utilisateur est dirigé vers l’aide en ligne d’Office

Ce script Python, c’est la backdoor Serpent. Elle s’appuie sur PySocks pour se connecter à une instance distante de CLI pour Pasterbin, transmet des éléments relatifs à la machine infectée et reçoit l’URL du fichier constitué avec ces éléments. URL qu’elle transmet ensuite à un deuxième serveur de commande, avec le nom de l’hôte infecté.

À qui doit-on cette campagne et quels sont ses objectifs ? Proofpoint ne se prononce sur aucun de ces deux sujets. Le groupe américain souligne en revanche la relative rareté de certaines des techniques sur lesquelles repose la démarche. En particulier, pour diffuser discrètement d’autres charges malveillantes, l’exploitation du planificateur de tâches (via schtasks.exe), qui sert à lancer un exécutable portable en tant qu’enfant d’un processus de confiance (taskhostsw.exe).

Illustration principale © Jne Valokuvaus – Shutterstock

Recent Posts

5 chiffres du marché de l’emploi cadre dans l’informatique

Métiers, secteurs, volumes d'offres... Le point, à partir des données de l'Apec, sur quelques indicateurs…

1 jour ago

Serverless : comment Airbus a développé son app de tracking W@y Oversize

Airbus a mis en place Squid, une équipe spécialisée qui a créé un pipeline de…

1 jour ago

Open Web Search : vers un Google européen ?

En gestation depuis 2019, le projet Open Web Search se lance officiellement, à l'appui d'un…

1 jour ago

Adrien Vandeweeghe prend la direction de Trellix en France

Le nouveau directeur de Trellix a pour mission de développer commercialement la filiale française, dont…

1 jour ago

Mainframe : une initiative de modernisation à la Fondation Linux

L'Open Mainframe Project dédie un groupe de travail à la question de la modernisation. La…

2 jours ago

5 licornes et scale-up françaises à suivre

Back Market, Contentsquare et Alan font partie des entreprises du numérique "Made in France" à…

2 jours ago