Хакеры используют менеджер пакетов Chocolatey для Windows в новой фишинговой кампании

[Artifact]

Хотя цели злоумышленников пока не ясны, используемые тактики указывают на шпионаж.

Злоумышленники используют популярный менеджер пакетов Chocolatey для Windows в новой фишинговой кампании по заражению французских правительственных организаций и крупных строительных компаний бэкдором Serpent.
Chocolatey – пакетный менеджер с открытым исходным кодом для Windows-ПК, позволяющий пользователям устанавливать и управлять более 9 тыс. приложений и любыми зависимостями с помощью командной строки.
В новой вредоносной кампании, обнаруженной исследователями ИБ-компании Proofpoint, злоумышленники используют довольно запутанную цепочку заражения с применением вредоносных документов Microsoft Word с макросами, пакетного менеджера Chocolatey и стеганографических изображений для обхода обнаружения.
Многоступенчатая кибератака начинается с фишингового письма якобы от европейского регулятора в области защиты персональных данных General Data Protection Regulations agency со вложенным документом Word с вредоносным макро-кодом.
Когда жертва открывает письмо и активирует макросы, эти макросы извлекают изображение персонажа мультфильма «Даша-путешественница» лисенка Жулика. Само по себе изображение кажется довольно безобидным, однако с помощью стеганографии в нем спрятан PowerShell-скрипт, который макрос затем выполняет.
PowerShell-скрипт сначала загружает и устанавливает пакетный менеджер Chocolatey, с помощью которого потом устанавливается язык программирования Python и установщик пакетов PIP.
Chocolatey также используется для обхода обнаружения решений безопасности, поскольку он часто присутствует в корпоративных средах для удаленного управления ПО и разрешен администраторами. По словам исследователей, им еще никогда не доводилось видеть использование Chocolatey в хакерских кампаниях.
На финальном этапе загружается второе стеганографическое изображение, в свою очередь загружающее написанный на Pyton бэкдор Serpent. После загрузки вредонос подключается к C&C-серверу для получения дальнейших команд. По словам исследователей, бэкдор способен выполнять любую команду злоумышленников, в том числе загружать дополнительное вредоносное ПО, открывать обратные оболочки и получать полный контроль над зараженным устройством.
Специалистам Proofpoint не удалось обнаружить ничего, что позволило бы определить, кто стоит за вредоносной кампанией. Хотя цели их пока не ясны, используемые тактики указывают на шпионаж.