يجذب المهاجمون السيبرانيون دبلوماسيي الاتحاد الأوروبي بعروض تذوق النبيذ

من المعروف أن الأوروبيين يستمتعون بالنبيذ الجيد، وهي سمة ثقافية تم استخدامها ضدهم من قبل المهاجمين وراء حملة التهديد الأخيرة. تهدف العملية السيبرانية إلى تسليم أ رواية مستتر من خلال إغراء دبلوماسيي الاتحاد الأوروبي بحدث مزيف لتذوق النبيذ.

واكتشف الباحثون في ThreatLabz التابعة لشركة Zscaler الحملة، التي استهدفت على وجه التحديد مسؤولين من دول الاتحاد الأوروبي في البعثات الدبلوماسية الهندية، حسبما كتبوا. في بلوق وظيفة نُشرت في 27 فبراير. استخدم الممثل - الذي أُطلق عليه اسم "SpikedWine" بشكل مناسب - ملف PDF في رسائل البريد الإلكتروني التي يُزعم أنها رسالة دعوة من سفير الهند، تدعو الدبلوماسيين إلى حدث تذوق النبيذ في 2 فبراير.

وكتب الباحثان في Zscaler ThreatLabz، سوديب سينغ وروي تاي، في هذا المنشور: "نعتقد أن جهة فاعلة تمثل تهديدًا للدولة القومية، مهتمة باستغلال العلاقات الجيوسياسية بين الهند والدبلوماسيين في الدول الأوروبية، نفذت هذا الهجوم".

حمولة الحملة هي الباب الخلفي الذي أطلق عليه الباحثون اسم "WineLoader"، والذي يتميز بتصميم معياري ويستخدم تقنيات مخصصة لتجنب الكشف. وأشار الباحثون إلى أن هذه تشمل إعادة التشفير وتصفية المخازن المؤقتة للذاكرة، والتي تعمل على حماية البيانات الحساسة في الذاكرة وتجنب حلول الطب الشرعي للذاكرة.

استخدم SpikedWine مواقع الويب المخترقة للقيادة والتحكم (C2) في مراحل متعددة من سلسلة الهجوم، والتي تبدأ عندما ينقر الضحية على رابط في ملف PDF وينتهي بالتسليم المعياري لـ WineLoader. وبشكل عام، أظهر المهاجمون السيبرانيون مستوى عالٍ من التطور سواء في الصياغة الإبداعية للحملة المصممة اجتماعيًا أو في البرامج الضارة، على حد قول الباحثين.

SpikedWine يفتح مراحل متعددة للهجوم السيبراني

اكتشف Zscaler ThreatLabz ملف PDF - دعوة لتذوق النبيذ المزعوم في مقر إقامة السفير الهندي - تم تحميله إلى VirusTotal من لاتفيا في 30 يناير. قام المهاجمون بصياغة المحتويات بعناية لانتحال شخصية سفير الهند، وتتضمن الدعوة رابطًا ضارًا إلى استبيان مزيف على أساس أنه يجب تعبئته من أجل المشاركة.

يؤدي النقر - خطأ، النقر - على الرابط إلى إعادة توجيه المستخدمين إلى موقع مخترق يشرع في تنزيل أرشيف مضغوط يحتوي على ملف يسمى "wine.hta". يحتوي الملف الذي تم تنزيله على كود JavaScript غامض ينفذ المرحلة التالية من الهجوم.

في النهاية، ينفذ الملف ملفًا باسم sqlwriter.exe من المسار: C:WindowsTasks لبدء سلسلة عدوى WineLoader الخلفية عن طريق تحميل ملف DLL ضار يسمى vcruntime140.dll. وهذا بدوره ينفذ وظيفة تم تصديرها set_se_translator، الذي يقوم بفك تشفير الوحدة الأساسية WineLoader المضمنة داخل DLL باستخدام مفتاح RC256 مشفر بقوة 4 بايت قبل تنفيذه.

WineLoader: برنامج ضار معياري ومستمر للباب الخلفي

يحتوي WineLoader على عدة وحدات، تتكون كل منها من بيانات التكوين، ومفتاح RC4، وسلاسل مشفرة، متبوعة برمز الوحدة. تشمل الوحدات التي لاحظها الباحثون وحدة أساسية ووحدة استمرارية.

تدعم الوحدة الأساسية ثلاثة أوامر: تنفيذ الوحدات من خادم الأوامر والتحكم (C2) إما بشكل متزامن أو غير متزامن؛ حقن الباب الخلفي في ملف DLL آخر؛ وتحديث فترة النوم بين طلبات المنارة.

تهدف وحدة الثبات إلى السماح الباب الخلفي لتنفيذ نفسه على فترات معينة. كما يوفر أيضًا تكوينًا بديلاً لتأسيس ثبات التسجيل في موقع آخر على الجهاز المستهدف.

تكتيكات Cybertacker المراوغة

وقال الباحثون إن WineLoader لديه عدد من الوظائف التي تهدف على وجه التحديد إلى تجنب الكشف، مما يدل على مستوى ملحوظ من التطور الذي يتمتع به SpikedWine. فهو يقوم بتشفير الوحدة الأساسية والوحدات اللاحقة التي تم تنزيلها من خادم C2 والسلاسل والبيانات المرسلة والمستقبلة من C2 - باستخدام مفتاح RC256 مشفر بقوة 4 بايت.

وقال الباحثون إن البرمجيات الخبيثة تقوم أيضًا بفك تشفير بعض السلاسل عند الاستخدام، ثم يتم إعادة تشفيرها بعد فترة وجيزة. ويتضمن مخازن مؤقتة للذاكرة تخزن النتائج من استدعاءات واجهة برمجة التطبيقات (API)، بالإضافة إلى استبدال السلاسل التي تم فك تشفيرها بالأصفار بعد الاستخدام.

جانب آخر ملحوظ لكيفية عمل SpikedWine هو أن الجهة الفاعلة تستخدم البنية التحتية للشبكة المخترقة في جميع مراحل سلسلة الهجوم. وقالوا إن الباحثين حددوا على وجه التحديد ثلاثة مواقع ويب مخترقة تستخدم لاستضافة الحمولات المتوسطة أو كخوادم C2.

الحماية والكشف (كيفية تجنب بقع النبيذ الأحمر)

أبلغت شركة Zscaler ThreatLabz جهات الاتصال في المركز الوطني للمعلومات (NIC) في الهند بشأن إساءة استخدام موضوعات الحكومة الهندية في الهجوم.

وقال الباحثون إن خادم C2 المستخدم في الهجوم يستجيب فقط لأنواع محددة من الطلبات في أوقات معينة، ولا يمكن لحلول التحليل الآلي استرداد استجابات C2 والحمولات المعيارية للكشف والتحليل. ولمساعدة المدافعين، قاموا بتضمين قائمة بمؤشرات الاختراق (IoCs) وعناوين URL المرتبطة بالهجوم في منشور مدونتهم.

متعدد الطبقات منصة الأمن السحابية وأشار الباحثون إلى أنه يجب اكتشاف IoCs المتعلقة بـ WineLoader على مستويات مختلفة، مثل أي ملفات تحمل اسم التهديد، Win64.Downloader.WineLoader.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers