Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры используют менеджер пакетов Chocolatey для Windows в новой фишинговой кампании

23/03/22

ChocolateyЗлоумышленники используют популярный менеджер пакетов Chocolatey для Windows в новой фишинговой кампании по заражению французских правительственных организаций и крупных строительных компаний бэкдором Serpent.

Chocolatey – пакетный менеджер с открытым исходным кодом для Windows-ПК, позволяющий пользователям устанавливать и управлять более 9 тыс. приложений и любыми зависимостями с помощью командной строки.

В новой вредоносной кампании, обнаруженной исследователями ИБ-компании Proofpoint, злоумышленники используют довольно запутанную цепочку заражения с применением вредоносных документов Microsoft Word с макросами, пакетного менеджера Chocolatey и стеганографических изображений для обхода обнаружения.

Многоступенчатая кибератака начинается с фишингового письма якобы от европейского регулятора в области защиты персональных данных General Data Protection Regulations agency со вложенным документом Word с вредоносным макро-кодом.

Когда жертва открывает письмо и активирует макросы, эти макросы извлекают изображение персонажа мультфильма «Даша-путешественница» лисенка Жулика. Само по себе изображение кажется довольно безобидным, однако с помощью стеганографии в нем спрятан PowerShell-скрипт, который макрос затем выполняет.

PowerShell-скрипт сначала загружает и устанавливает пакетный менеджер Chocolatey, с помощью которого потом устанавливается язык программирования Python и установщик пакетов PIP.

Chocolatey также используется для обхода обнаружения решений безопасности, поскольку он часто присутствует в корпоративных средах для удаленного управления ПО и разрешен администраторами. По словам исследователей, им еще никогда не доводилось видеть использование Chocolatey в хакерских кампаниях.

На финальном этапе загружается второе стеганографическое изображение, в свою очередь загружающее написанный на Pyton бэкдор Serpent. После загрузки вредонос подключается к C&C-серверу для получения дальнейших команд. По словам исследователей, бэкдор способен выполнять любую команду злоумышленников, в том числе загружать дополнительное вредоносное ПО, открывать обратные оболочки и получать полный контроль над зараженным устройством.

Специалистам Proofpoint не удалось обнаружить ничего, что позволило бы определить, кто стоит за вредоносной кампанией. Хотя цели их пока не ясны, используемые тактики указывают на шпионаж.

Темы:WindowsПреступленияфишингбэкдоры
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...