新后门通过开源软件包安装程序瞄准法国实体

研究人员揭露了一个针对建筑、房地产和政府部门的法国实体的新的有针对性的电子邮件活动，该网络攻击手段利用巧克力Windows软件包管理器提供一个名为蛇在受损系统上。

企业安全公司Proofpoint根据观察到的战术和受害者模式，将攻击归因于可能的高级威胁参与者。这场运动的最终目标目前仍不得而知。

Proofpoint研究人员在与《黑客新闻》分享的一份报告中说：“威胁行为人试图在潜在受害者的设备上安装后门，这可能会启用远程管理、指挥与控制（C2）、数据盗窃或提供其他额外的有效载荷。”。

引发感染序列的网络钓鱼诱饵使用了以简历为主题的主题行，附带的嵌入宏的Microsoft Word文档伪装成与欧盟通用数据保护条例（GDPR）相关的信息。

启用宏会导致宏的执行，它会检索托管在远程服务器上的看似无害的图像文件，但实际上包含一个Base64编码的PowerShell脚本，该脚本使用隐写术进行隐藏，隐写术是一种很少使用的方法，用于隐藏图像或音频中的恶意代码，以规避检测。

反过来，PowerShell脚本被设计为在Windows机器上安装Chocolate实用程序，然后利用它安装Python软件包安装程序pip，后者充当安装PySocks代理库的管道。

同一个PowerShell脚本还检索到来自同一远程服务器的另一个图像文件，其中包括伪装的Python后门，名为蛇，它具有执行从C2服务器传输的命令的功能。

Proofpoint表示，除了隐写术之外，使用广受认可的工具（如Chocolate）作为后续部署正版Python软件包的初始有效载荷，是一种试图不受关注、不被视为威胁的尝试。

这些攻击没有发现与先前确定的演员或团体有关联，但怀疑是一个老练的黑客团队所为。

Proofpoint威胁研究和检测副总裁谢罗德·德格里波（Sherrod DeGrippo）在一份声明中说：“这是各种技术的一种新应用，通常在组织内部被合法使用。”。

“它利用了许多组织，特别是技术团体的愿望，允许他们的用户在自我工具和包管理器方面‘自给自足’。此外，使用隐写术是不寻常的，这是我们不经常看到的。”