• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    • Dynatrace e NVIDIA a supporto delle implementazioni di AI Factory
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Proofpoint avverte: attenzione alla backdoor Serpent

    Proofpoint avverte: attenzione alla backdoor Serpent

    By Redazione LineaEDP25/03/20223 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    I ricercatori Proofpoint hanno individuato una nuova minaccia sotto forma di backdoor avanzata. In Francia le prime “vittime”

    I ricercatori Proofpoint hanno osservato una nuova minaccia sotto forma di backdoor avanzata, che può consentire il controllo remoto di una macchina, facendo leva su strumenti software legittimi.

    La nuova attività mirata ha già colpito entità francesi nei settori dell’edilizia e del governo. L’attore della minaccia ha utilizzato documenti Microsoft Word con macro per distribuire il pacchetto di installazione Chocolatey, un installer di pacchetti open-source.

    Varie parti della macro VBA includono la seguente grafica ASCII e raffigurano un serpente come quello raffigurato di seguito.

    L’attore della minaccia ha tentato di installare una backdoor sul dispositivo di una potenziale vittima, che potrebbe abilitare gestione remota, comando e controllo (C2), furto di dati o consegnare malware aggiuntivi. Proofpoint si riferisce a questa backdoor come Serpent. L’obiettivo finale dell’attore della minaccia è attualmente sconosciuto.

    Come spiegato in una nota diffusa alla stampa da Sherrod DeGrippo, Vice President Threat Research and Detection di Proofpoint: «Quando le macro sono abilitate, il contenuto dannoso viene caricato automaticamente in background in modo che un destinatario non veda l’attività sul suo schermo. Per esempio, con l’immagine swiper, PowerShell chiama il jpg per ottenere i dati offuscati ed esegue i comandi successivi senza avvertire l’utente dell’attività in corso o mostrare alla vittima lo stesso jpg. Elemento degno di nota in questa catena di attacchi è che molti degli strumenti utilizzati come Powershell, Chocolatey e PySocks sono tool legittimi che potrebbero essere trovati regolarmente su un host».

    I dettagli della campagna backdoor Serpent 

    Nella campagna osservata, i messaggi sono in francese, con mittenti e oggetti come I seguenti:

    From: “Jeanne” <jeanne.vrakele@gmail[.]com>

    Subject “Candidature – Jeanne Vrakele”

    I messaggi contengono un documento Microsoft Word abilitato alle macro, mascherato da informazioni relative al GDPR, il Regolamento generale sulla protezione dei dati dell’Unione europea – RGPD in francese.

    Quando le macro vengono abilitate, il documento esegue quella macro, che raggiunge un URL di immagine, ad esempio, https://www.fhccu[.]com/images/ship3[.]jpg, contenente uno script PowerShell codificato in base64 nascosto nell’immagine usando la steganografia. Lo script PowerShell prima scarica, installa e aggiorna il pacchetto di installazione Chocolatey e lo script del repository. Chocolatey è uno strumento di software management automation per Windows che racchiude installatori, eseguibili, zip e script in pacchetti compilati, simili a Homebrew per OSX. Il software fornisce sia versioni open-source che a pagamento con vari livelli di funzionalità. Proofpoint non aveva precedentemente osservato alcun attore di minacce utilizzare Chocolatey nelle proprie campagne.

    Lo script usa poi Chocolatey per installare Python, incluso l’installatore di pacchetti pip Python, che poi usa per installare varie dipendenze tra cui PySocks, un client reverse proxy basato su Python che permette agli utenti di inviare traffico attraverso SOCKS e server proxy HTTP.

    Successivamente, lo script recupera un altro file immagine, ad esempio https://www.fhccu[.]com/images/7[.]jpg, che contiene uno script Python codificato in base64 e nascosto utilizzando la steganografia, e salva lo script Python come MicrosoftSecurityUpdate.py. Lo script, quindi, crea ed esegue un file .bat che a sua volta esegue lo script Python.

    La catena di attacco termina con un comando ad un URL abbreviato che reindirizza al sito web della guida di Microsoft Office.

    Il blog completo è disponibile al link: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

     

     

    backdoor avanzata backdoor Serpent Proofpoint
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025

    IBM X-Force Threat Index 2025: vecchi e nuovi trend delle minacce cyber

    18/04/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.