Cyberangribere lokker EU-diplomater med tilbud om vinsmagning

Europæere er kendt for at nyde god vin, en kulturel egenskab, der er blevet brugt mod dem af angribere bag en nylig trusselskampagne. Cyberoperationen havde til formål at levere en roman bagdør ved at lokke EU's (EU) diplomater med en falsk vinsmagning.

Forskere ved Zscaler's ThreatLabz opdagede kampagnen, som specifikt var rettet mod embedsmænd fra EU-lande med indiske diplomatiske missioner, skrev de. i et blogindlæg offentliggjort 27. februar Skuespilleren - passende døbt "SpikedWine" - brugte en PDF-fil i e-mails, der foregav at være et invitationsbrev fra Indiens ambassadør, der inviterede diplomater til en vinsmagning den 2. februar.

"Vi mener, at en nationalstatstrusselaktør, der er interesseret i at udnytte de geopolitiske relationer mellem Indien og diplomater i europæiske nationer, udførte dette angreb," skrev Zscaler ThreatLabz-forskerne Sudeep Singh og Roy Tay i indlægget.

Kampagnens nyttelast er en bagdør som forskere har kaldt "WineLoader", som har et modulært design og anvender teknikker specifikt til at undgå detektion. Disse inkluderer genkryptering og nulstilling af hukommelsesbuffere, som tjener til at beskytte følsomme data i hukommelsen og undgå hukommelsestekniske løsninger, bemærkede forskerne.

SpikedWine brugte kompromitterede websteder til kommando-og-kontrol (C2) på flere stadier af angrebskæden, som starter, når et offer klikker på et link i PDF'en og slutter med den modulære levering af WineLoader. Samlet set viste cyberangriberne et højt niveau af sofistikering både i den kreative udformning af den socialt udviklede kampagne og malwaren, sagde forskerne.

SpikedWine løsner flere cyberangrebsfaser

Zscaler ThreatLabz opdagede PDF-filen - invitationen til en påstået vinsmagning i den indiske ambassadørs residens - uploadet til VirusTotal fra Letland den 30. januar. Angribere udformede indholdet omhyggeligt for at efterligne Indiens ambassadør, og invitationen indeholder et ondsindet link til et falsk spørgeskema under forudsætning af, at det skal udfyldes for at deltage.

Klinker - fejl, klikker - på linket omdirigerer brugere til et kompromitteret websted, der fortsætter med at downloade et zip-arkiv, der indeholder en fil kaldet "wine.hta." Den downloadede fil indeholder sløret JavaScript-kode, der udfører det næste trin af angrebet.

Til sidst udfører filen en fil ved navn sqlwriter.exe fra stien: C:WindowsTasks for at starte WineLoader-bagdørsinfektionskæden ved at indlæse en ondsindet DLL ved navn vcruntime140.dll. Dette udfører igen en eksporteret funktion set_se_translator, som dekrypterer det indlejrede WineLoader-kernemodul i DLL'en ved hjælp af en hårdkodet 256-byte RC4-nøgle, før den udføres.

WineLoader: Modulær, vedvarende bagdørsmalware

WineLoader har flere moduler, som hver består af konfigurationsdata, en RC4-nøgle og krypterede strenge efterfulgt af modulkoden. De moduler, som forskerne observerer, omfatter et kernemodul og et persistensmodul.

Kernemodulet understøtter tre kommandoer: udførelse af moduler fra kommando-og-kontrolserveren (C2) enten synkront eller asynkront; indsprøjtning af bagdøren i en anden DLL; og opdatering af søvnintervallet mellem beacon-anmodninger.

Vedholdenhedsmodulet har til formål at tillade bagdøren at udføre sig selv med bestemte intervaller. Det tilbyder også en alternativ konfiguration til at etablere registreringsvedholdenhed et andet sted på en målrettet maskine.

Cybertackers undvigende taktik

WineLoader har en række funktioner, der er specifikt rettet mod at undgå detektion, hvilket viser et bemærkelsesværdigt niveau af sofistikering af SpikedWine, sagde forskerne. Den krypterer kernemodulet og efterfølgende moduler, der er downloadet fra C2-serveren, strenge og data, der sendes og modtages fra C2 - med en hårdkodet 256-byte RC4-nøgle.

Malwaren dekrypterer også nogle strenge ved brug, som derefter genkrypteres kort efter, sagde forskerne. Og det inkluderer hukommelsesbuffere, der gemmer resultater fra API-kald, samt erstatter dekrypterede strenge med nuller efter brug.

Et andet bemærkelsesværdigt aspekt af, hvordan SpikedWine fungerer, er, at skuespilleren bruger kompromitteret netværksinfrastruktur på alle stadier af angrebskæden. Specifikt identificerede forskerne tre kompromitterede websteder, der blev brugt til at hoste mellemliggende nyttelaster eller som C2-servere, sagde de.

Beskyttelse og påvisning (Sådan undgår du rødvinspletter)

Zscaler ThreatLabz har underrettet kontakter på National Informatics Center (NIC) i Indien om misbrug af indiske regeringstemaer i angrebet.

Da C2-serveren, der blev brugt i angrebet, kun reagerer på bestemte typer anmodninger på bestemte tidspunkter, kan automatiserede analyseløsninger ikke hente C2-svar og modulære nyttelaster til detektion og analyse, sagde forskerne. For at hjælpe forsvarere inkluderede de en liste over indikatorer for kompromis (IoC'er) og URL'er forbundet med angrebet i deres blogindlæg.

En flerlags cloud sikkerhedsplatform bør opdage IoC'er relateret til WineLoader på forskellige niveauer, såsom alle filer med trusselsnavnet, Win64.Downloader.WineLoader, bemærkede forskerne.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers