Es ist bekannt, dass Europäer guten Wein genießen, ein kulturelles Merkmal, das von Angreifern im Rahmen einer aktuellen Bedrohungskampagne gegen sie ausgenutzt wurde. Die Cyber-Operation zielte darauf ab, a Roman Hintertür indem sie Diplomaten der Europäischen Union (EU) mit einer gefälschten Weinprobe anlocken.
Forscher von Zscalers ThreatLabz entdeckten die Kampagne, die sich speziell gegen Beamte aus EU-Ländern mit indischen diplomatischen Vertretungen richtete, schrieben sie in einem Blog-Post veröffentlicht am 27. Februar. Der Schauspieler – passenderweise „SpikedWine“ genannt – verwendete eine PDF-Datei in E-Mails, die angeblich ein Einladungsschreiben des indischen Botschafters waren und Diplomaten zu einer Weinprobe am 2. Februar einluden.
„Wir glauben, dass ein nationalstaatlicher Bedrohungsakteur, der daran interessiert ist, die geopolitischen Beziehungen zwischen Indien und Diplomaten in europäischen Ländern auszunutzen, diesen Angriff ausgeführt hat“, schrieben die Zscaler ThreatLabz-Forscher Sudeep Singh und Roy Tay in dem Beitrag.
Die Nutzlast der Kampagne beträgt a Hintertür- Forscher haben es „WineLoader“ genannt, das modular aufgebaut ist und spezielle Techniken einsetzt, um einer Entdeckung zu entgehen. Dazu gehören die Neuverschlüsselung und das Nullen von Speicherpuffern, die dazu dienen, sensible Daten im Speicher zu schützen und speicherforensische Lösungen zu umgehen, stellten die Forscher fest.
SpikedWine nutzte kompromittierte Websites für Command-and-Control (C2) in mehreren Phasen der Angriffskette, die beginnt, wenn ein Opfer auf einen Link im PDF klickt und mit der modularen Bereitstellung von WineLoader endet. Insgesamt zeigten die Cyberangreifer ein hohes Maß an Raffinesse sowohl bei der kreativen Gestaltung der Social-Engineering-Kampagne als auch bei der Malware, sagten die Forscher.
SpikedWine entschlüsselt mehrere Cyberangriffsphasen
Zscaler ThreatLabz entdeckte die PDF-Datei – die Einladung zu einer angeblichen Weinprobe in der Residenz des indischen Botschafters –, die am 30. Januar aus Lettland auf VirusTotal hochgeladen wurde. Angreifer haben den Inhalt sorgfältig gestaltet, um sich als Botschafter Indiens auszugeben, und die Einladung enthält einen schädlichen Link einem gefälschten Fragebogen unter der Prämisse, dass dieser ausgefüllt werden muss, um teilnehmen zu können.
Durch Klicken – ähm, Klicken – auf den Link werden Benutzer auf eine manipulierte Website weitergeleitet, die dann ein Zip-Archiv herunterlädt, das eine Datei namens „wine.hta“ enthält. Die heruntergeladene Datei enthält verschleierten JavaScript-Code, der die nächste Stufe des Angriffs ausführt.
Schließlich führt die Datei eine Datei namens sqlwriter.exe aus dem Pfad C:WindowsTasks aus, um die WineLoader-Backdoor-Infektionskette zu starten, indem sie eine schädliche DLL namens vcruntime140.dll lädt. Dadurch wird wiederum eine exportierte Funktion ausgeführt set_se_translator, das das eingebettete WineLoader-Kernmodul innerhalb der DLL mithilfe eines fest codierten 256-Byte-RC4-Schlüssels entschlüsselt, bevor es ausgeführt wird.
WineLoader: Modulare, persistente Backdoor-Malware
WineLoader verfügt über mehrere Module, die jeweils aus Konfigurationsdaten, einem RC4-Schlüssel und verschlüsselten Zeichenfolgen bestehen, gefolgt vom Modulcode. Zu den von den Forschern beobachteten Modulen gehören ein Kernmodul und ein Persistenzmodul.
Das Kernmodul unterstützt drei Befehle: die Ausführung von Modulen vom Command-and-Control-Server (C2) entweder synchron oder asynchron; die Injektion der Hintertür in eine andere DLL; und die Aktualisierung des Ruheintervalls zwischen Beacon-Anfragen.
Das Persistenzmodul soll es ermöglichen die Hintertür sich in bestimmten Zeitabständen selbst auszuführen. Es bietet auch eine alternative Konfiguration zum Einrichten der Registrierungspersistenz an einem anderen Ort auf einem Zielcomputer.
Ausweichtaktiken des Cyberattackers
WineLoader verfügt über eine Reihe von Funktionen, die speziell darauf abzielen, einer Entdeckung zu entgehen, was ein bemerkenswertes Maß an Raffinesse von SpikedWine zeigt, sagten die Forscher. Es verschlüsselt das Kernmodul und die vom C2-Server heruntergeladenen Folgemodule, Zeichenfolgen und von C2 gesendete und empfangene Daten – mit einem fest codierten 256-Byte-RC4-Schlüssel.
Die Malware entschlüsselt bei der Verwendung auch einige Zeichenfolgen, die kurz darauf erneut verschlüsselt werden, so die Forscher. Und es enthält Speicherpuffer, die Ergebnisse von API-Aufrufen speichern und entschlüsselte Zeichenfolgen nach der Verwendung durch Nullen ersetzen.
Ein weiterer bemerkenswerter Aspekt der Arbeitsweise von SpikedWine besteht darin, dass der Akteur in allen Phasen der Angriffskette eine kompromittierte Netzwerkinfrastruktur nutzt. Konkret identifizierten die Forscher drei kompromittierte Websites, die zum Hosten von Zwischennutzlasten oder als C2-Server genutzt würden, sagten sie.
Schutz und Erkennung (So vermeiden Sie Rotweinflecken)
Zscaler ThreatLabz hat Kontakte im National Informatics Centre (NIC) in Indien über den Missbrauch von Themen der indischen Regierung bei dem Angriff informiert.
Da der bei dem Angriff verwendete C2-Server nur zu bestimmten Zeiten auf bestimmte Arten von Anfragen reagiert, können automatisierte Analyselösungen keine C2-Antworten und modularen Nutzlasten zur Erkennung und Analyse abrufen, so die Forscher. Um den Verteidigern zu helfen, haben sie in ihrem Blogbeitrag eine Liste mit Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) und URLs im Zusammenhang mit dem Angriff beigefügt.
Ein vielschichtiges Cloud-Sicherheitsplattform sollte IoCs im Zusammenhang mit WineLoader auf verschiedenen Ebenen erkennen, beispielsweise alle Dateien mit dem Bedrohungsnamen Win64.Downloader.WineLoader, stellten die Forscher fest.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :hast
- :Ist
- 27
- 30
- 7
- a
- Über uns
- Missbrauch
- Nach der
- gegen
- gezielt
- Alle
- Zulassen
- ebenfalls
- Alternative
- Ambassador
- an
- Analyse
- machen
- Ein anderer
- jedem
- Bienen
- passend
- Archiv
- SIND
- AS
- Aussehen
- damit verbundenen
- At
- Attacke
- Automatisiert
- vermeiden
- Hintertür-
- BE
- Leuchtfeuer
- war
- Bevor
- hinter
- Glauben
- zwischen
- Blog
- beide
- by
- namens
- Aufrufe
- Kampagnen (Campaign)
- kann keine
- vorsichtig
- durchgeführt
- Center
- sicher
- Kette
- Merkmal
- Code
- Kompromiss
- Kompromittiert
- Konfiguration
- besteht
- Kontakte
- enthält
- Inhalt
- Kernbereich
- Ländern
- Gefertigt
- Kreativ (Creative)
- Kultur-
- Cyber-
- Cyber Attacke
- technische Daten
- Defenders
- Übergeben
- Lieferanten
- demonstrieren
- Design
- entdecken
- Entdeckung
- Diplomaten
- entdeckt
- herunterladen
- synchronisiert
- jeder
- entweder
- E-Mails
- eingebettet
- beschäftigt
- verschlüsselt
- endet
- entwickelt
- genießen
- etablieren
- EU
- Europäische
- Europäische Union
- Europäische Union (EU)
- Flucht
- Event
- ausführen
- Führt aus
- Ausführung
- Ausführung
- Nutzung
- Fälschung
- Februar
- Reichen Sie das
- Mappen
- gefüllt
- Ende
- gefolgt
- Aussichten für
- Forensik
- für
- Funktion
- Funktionen
- geopolitischen
- der Regierung
- Bewachen
- Haben
- Hilfe
- GUTE
- Hosting
- Ultraschall
- Hilfe
- HTTPS
- identifiziert
- imitieren
- in
- das
- inklusive
- Dazu gehören
- Indien
- Indisch
- indische Regierung
- Anzeigen
- Infrastruktur
- interessiert
- in
- Einladung
- einladen
- einladend
- IT
- selbst
- Januar
- JavaScript
- Wesentliche
- bekannt
- LETTLAND
- Brief
- Niveau
- Cholesterinspiegel
- LINK
- Liste
- Laden
- Standorte
- Maschine
- böswilligen
- Malware
- Memory
- Missionen
- modulare
- Modul
- Module
- Mehrschichtig
- mehrere
- sollen
- Name
- Namens
- National
- Nationen
- Netzwerk
- weiter
- bemerkenswert
- bekannt
- Anzahl
- of
- Angebote
- Beamte
- on
- einzige
- arbeitet
- Betrieb
- or
- Auftrag
- Gesamt-
- teilnehmen
- Weg
- Beharrlichkeit
- Phasen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Post
- Erlös
- Sicherheit
- veröffentlicht
- Received
- kürzlich
- Rot
- Registratur
- bezogene
- Verhältnis
- Zugriffe
- Forscher
- Unterkunft
- Antworten
- Die Ergebnisse
- roy
- s
- Said
- Sicherheitdienst
- empfindlich
- geschickt
- brauchen
- Server
- Fertige Server
- mehrere
- Kurz
- sollte
- zeigte
- am Standort
- schlafen
- sozial
- Lösungen
- einige
- Raffinesse
- spezifisch
- speziell
- Sponsored
- Stufe
- Stufen
- Anfang
- beginnt
- speichern
- Folge
- so
- Unterstützt
- Taktik
- gezielt
- tay
- Techniken
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Themen
- dann
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- nach drei
- mal
- zu
- WENDE
- Typen
- für
- Gewerkschaft
- Aktualisierung
- hochgeladen
- -
- benutzt
- Nutzer
- verwendet
- Verwendung von
- verschiedene
- Opfer
- we
- Webseiten
- GUT
- wann
- welche
- WEIN
- mit
- .
- schrieb
- Zephyrnet
- PLZ
