من المعروف أن الأوروبيين يستمتعون بالنبيذ الجيد، وهي سمة ثقافية تم استخدامها ضدهم من قبل المهاجمين وراء حملة التهديد الأخيرة. تهدف العملية السيبرانية إلى تسليم أ رواية مستتر من خلال إغراء دبلوماسيي الاتحاد الأوروبي بحدث مزيف لتذوق النبيذ.
واكتشف الباحثون في ThreatLabz التابعة لشركة Zscaler الحملة، التي استهدفت على وجه التحديد مسؤولين من دول الاتحاد الأوروبي في البعثات الدبلوماسية الهندية، حسبما كتبوا. في بلوق وظيفة نُشرت في 27 فبراير. استخدم الممثل - الذي أُطلق عليه اسم "SpikedWine" بشكل مناسب - ملف PDF في رسائل البريد الإلكتروني التي يُزعم أنها رسالة دعوة من سفير الهند، تدعو الدبلوماسيين إلى حدث تذوق النبيذ في 2 فبراير.
وكتب الباحثان في Zscaler ThreatLabz، سوديب سينغ وروي تاي، في هذا المنشور: "نعتقد أن جهة فاعلة تمثل تهديدًا للدولة القومية، مهتمة باستغلال العلاقات الجيوسياسية بين الهند والدبلوماسيين في الدول الأوروبية، نفذت هذا الهجوم".
حمولة الحملة هي الباب الخلفي الذي أطلق عليه الباحثون اسم "WineLoader"، والذي يتميز بتصميم معياري ويستخدم تقنيات مخصصة لتجنب الكشف. وأشار الباحثون إلى أن هذه تشمل إعادة التشفير وتصفية المخازن المؤقتة للذاكرة، والتي تعمل على حماية البيانات الحساسة في الذاكرة وتجنب حلول الطب الشرعي للذاكرة.
استخدم SpikedWine مواقع الويب المخترقة للقيادة والتحكم (C2) في مراحل متعددة من سلسلة الهجوم، والتي تبدأ عندما ينقر الضحية على رابط في ملف PDF وينتهي بالتسليم المعياري لـ WineLoader. وبشكل عام، أظهر المهاجمون السيبرانيون مستوى عالٍ من التطور سواء في الصياغة الإبداعية للحملة المصممة اجتماعيًا أو في البرامج الضارة، على حد قول الباحثين.
SpikedWine يفتح مراحل متعددة للهجوم السيبراني
اكتشف Zscaler ThreatLabz ملف PDF - دعوة لتذوق النبيذ المزعوم في مقر إقامة السفير الهندي - تم تحميله إلى VirusTotal من لاتفيا في 30 يناير. قام المهاجمون بصياغة المحتويات بعناية لانتحال شخصية سفير الهند، وتتضمن الدعوة رابطًا ضارًا إلى استبيان مزيف على أساس أنه يجب تعبئته من أجل المشاركة.
يؤدي النقر - خطأ، النقر - على الرابط إلى إعادة توجيه المستخدمين إلى موقع مخترق يشرع في تنزيل أرشيف مضغوط يحتوي على ملف يسمى "wine.hta". يحتوي الملف الذي تم تنزيله على كود JavaScript غامض ينفذ المرحلة التالية من الهجوم.
في النهاية، ينفذ الملف ملفًا باسم sqlwriter.exe من المسار: C:WindowsTasks لبدء سلسلة عدوى WineLoader الخلفية عن طريق تحميل ملف DLL ضار يسمى vcruntime140.dll. وهذا بدوره ينفذ وظيفة تم تصديرها set_se_translator، الذي يقوم بفك تشفير الوحدة الأساسية WineLoader المضمنة داخل DLL باستخدام مفتاح RC256 مشفر بقوة 4 بايت قبل تنفيذه.
WineLoader: برنامج ضار معياري ومستمر للباب الخلفي
يحتوي WineLoader على عدة وحدات، تتكون كل منها من بيانات التكوين، ومفتاح RC4، وسلاسل مشفرة، متبوعة برمز الوحدة. تشمل الوحدات التي لاحظها الباحثون وحدة أساسية ووحدة استمرارية.
تدعم الوحدة الأساسية ثلاثة أوامر: تنفيذ الوحدات من خادم الأوامر والتحكم (C2) إما بشكل متزامن أو غير متزامن؛ حقن الباب الخلفي في ملف DLL آخر؛ وتحديث فترة النوم بين طلبات المنارة.
تهدف وحدة الثبات إلى السماح الباب الخلفي لتنفيذ نفسه على فترات معينة. كما يوفر أيضًا تكوينًا بديلاً لتأسيس ثبات التسجيل في موقع آخر على الجهاز المستهدف.
تكتيكات Cybertacker المراوغة
وقال الباحثون إن WineLoader لديه عدد من الوظائف التي تهدف على وجه التحديد إلى تجنب الكشف، مما يدل على مستوى ملحوظ من التطور الذي يتمتع به SpikedWine. فهو يقوم بتشفير الوحدة الأساسية والوحدات اللاحقة التي تم تنزيلها من خادم C2 والسلاسل والبيانات المرسلة والمستقبلة من C2 - باستخدام مفتاح RC256 مشفر بقوة 4 بايت.
وقال الباحثون إن البرمجيات الخبيثة تقوم أيضًا بفك تشفير بعض السلاسل عند الاستخدام، ثم يتم إعادة تشفيرها بعد فترة وجيزة. ويتضمن مخازن مؤقتة للذاكرة تخزن النتائج من استدعاءات واجهة برمجة التطبيقات (API)، بالإضافة إلى استبدال السلاسل التي تم فك تشفيرها بالأصفار بعد الاستخدام.
جانب آخر ملحوظ لكيفية عمل SpikedWine هو أن الجهة الفاعلة تستخدم البنية التحتية للشبكة المخترقة في جميع مراحل سلسلة الهجوم. وقالوا إن الباحثين حددوا على وجه التحديد ثلاثة مواقع ويب مخترقة تستخدم لاستضافة الحمولات المتوسطة أو كخوادم C2.
الحماية والكشف (كيفية تجنب بقع النبيذ الأحمر)
أبلغت شركة Zscaler ThreatLabz جهات الاتصال في المركز الوطني للمعلومات (NIC) في الهند بشأن إساءة استخدام موضوعات الحكومة الهندية في الهجوم.
وقال الباحثون إن خادم C2 المستخدم في الهجوم يستجيب فقط لأنواع محددة من الطلبات في أوقات معينة، ولا يمكن لحلول التحليل الآلي استرداد استجابات C2 والحمولات المعيارية للكشف والتحليل. ولمساعدة المدافعين، قاموا بتضمين قائمة بمؤشرات الاختراق (IoCs) وعناوين URL المرتبطة بالهجوم في منشور مدونتهم.
متعدد الطبقات منصة الأمن السحابية وأشار الباحثون إلى أنه يجب اكتشاف IoCs المتعلقة بـ WineLoader على مستويات مختلفة، مثل أي ملفات تحمل اسم التهديد، Win64.Downloader.WineLoader.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :لديها
- :يكون
- 27
- 30
- 7
- a
- حول المستشفى
- سوء المعاملة
- بعد
- ضد
- تهدف
- الكل
- السماح
- أيضا
- البديل
- سفير
- an
- تحليل
- و
- آخر
- أي وقت
- API
- بشكل مناسب
- أرشيف
- هي
- AS
- جانب
- أسوشيتد
- At
- مهاجمة
- الآلي
- تجنب
- الباب الخلفي
- BE
- منارة
- كان
- قبل
- وراء
- اعتقد
- ما بين
- المدونة
- على حد سواء
- by
- تسمى
- دعوات
- الحملات
- لا تستطيع
- بعناية
- نفذت
- مركز
- معين
- سلسلة
- مميز
- الكود
- حل وسط
- تسوية
- الاعداد
- يتكون
- جهات الاتصال
- يحتوي
- محتويات
- جوهر
- دولة
- وضعت
- الإبداع
- ثقافي
- الانترنت
- هجوم الانترنت
- البيانات
- المدافعين عن حقوق الإنسان
- نقل
- التوصيل
- التظاهر
- تصميم
- بكشف أو
- كشف
- دبلوماسيون
- اكتشف
- بإمكانك تحميله
- يطلق عليها اسم
- كل
- إما
- رسائل البريد الإلكتروني
- جزءا لا يتجزأ من
- توظف
- مشفرة
- ينتهي
- مهندسة
- استمتع
- إنشاء
- EU
- المجلة الأوروبية
- الإتحاد الأوربي
- الاتحاد الأوروبي (EU)
- الهروب
- الحدث/الفعالية
- تنفيذ
- ينفذ
- تنفيذ
- استغلال
- زائف
- فبراير
- قم بتقديم
- ملفات
- معبأ
- نهاية
- يتبع
- في حالة
- التحاليل الجنائية
- تبدأ من
- وظيفة
- وظائف
- الجغرافية السياسية
- حكومة
- الحرس
- يملك
- مساعدة
- مرتفع
- استضافة
- كيفية
- كيفية
- HTTPS
- محدد
- انتحال
- in
- تتضمن
- شامل
- يشمل
- الهند
- هندي
- الحكومة الهندية
- من مؤشرات
- البنية التحتية
- يستفد
- إلى
- دعوة
- دعا
- جذاب
- IT
- نفسها
- يناير
- جافا سكريبت
- القفل
- معروف
- لاتفيا
- خطاب
- مستوى
- ومستوياتها
- LINK
- قائمة
- جار التحميل
- موقع
- آلة
- خبيث
- البرمجيات الخبيثة
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- البعثات
- وحدات
- وحدة
- الوحدات
- متعدد الطبقات
- متعدد
- يجب
- الاسم
- عين
- محليات
- الأمم
- شبكة
- التالي
- جدير بالذكر
- وأشار
- عدد
- of
- عروض
- مسؤولون
- on
- فقط
- تعمل
- عملية
- or
- طلب
- خارج
- الكلي
- شارك
- مسار
- إصرار
- المراحل
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- منشور
- العائدات
- الحماية
- نشرت
- تلقى
- الأخيرة
- أحمر
- سجل
- ذات صلة
- العلاقات
- طلبات
- الباحثين
- سكن
- ردود
- النتائج
- روي
- s
- قال
- أمن
- حساس
- أرسلت
- خدمة
- الخادم
- خوادم
- عدة
- قريبا
- ينبغي
- أظهرت
- الموقع
- النوم
- اجتماعيا
- الحلول
- بعض
- التكلف
- محدد
- على وجه التحديد
- المدعومة
- المسرح
- مراحل
- بداية
- يبدأ
- متجر
- لاحق
- هذه
- الدعم
- التكتيكات
- المستهدفة
- تاي
- تقنيات
- أن
- •
- من مشاركة
- منهم
- المواضيع
- then
- هم
- هؤلاء
- التهديد
- ثلاثة
- مرات
- إلى
- منعطف أو دور
- أنواع
- مع
- الاتحاد
- تحديث
- تم التحميل
- تستخدم
- مستعمل
- المستخدمين
- يستخدم
- استخدام
- مختلف
- ضحية
- we
- المواقع
- حسن
- متى
- التي
- WINE
- مع
- في غضون
- كتب
- زفيرنت
- الرمز البريدي