Célzott támadás francia szervezetek ellen
A Proofpoint új, célzott tevékenységet figyelt meg, amely a kormányzati szektort és az építőipart is célba vette Franciaországban. A támadás adathalász Microsoft Word dokumentumokat használt, amely a macrók segítségével a Chocolatey nyílt forráskódú csomagot telepíti az eszközökre.
Ha a makrók engedélyezve vannak, egy base64 kódolású PowerShell-szkriptet tartalmaz elrejtve, ami letölti, telepíti majd frissíti a Chocolatey telepítőcsomagot és a szkriptet. A Chocolatey egy szoftverfelügyeleti automatizálási eszköz a Windows számára, amely a telepítőket, a végrehajtható fájlokat, a zip-eket és a szkripteket csomagokba tömöríti. Azaz rendszergazdai jogosultságú eszközöket futtathat a gépen, ami letölti a Python szkripteket és egy hátsó ajtón, a Tor proxyn kommunikál a C2 szerverrel.
A Proofpoint jelenleg nem társítja ismert szereplőhöz vagy csoporthoz a támadást. A támadó céljai sem ismertek. A sikeres behatolás lehetővé tenné, hogy olyan tevékenységeket hajtsanak végre, mint az adatok ellopása, az irányítás megszerzése, vagy egyéb kártékony kódok telepítése.