Οι Ευρωπαίοι είναι γνωστό ότι απολαμβάνουν το καλό κρασί, ένα πολιτιστικό χαρακτηριστικό που χρησιμοποιείται εναντίον τους από τους επιτιθέμενους πίσω από μια πρόσφατη εκστρατεία απειλής. Η επιχείρηση στον κυβερνοχώρο είχε στόχο να παραδώσει α μυθιστόρημα πίσω πόρτα δελεάζοντας διπλωμάτες της Ευρωπαϊκής Ένωσης (ΕΕ) με μια ψεύτικη εκδήλωση γευσιγνωσίας.
Ερευνητές στο Zscaler's ThreatLabz ανακάλυψαν την εκστρατεία, η οποία στόχευε συγκεκριμένα αξιωματούχους από χώρες της ΕΕ με ινδικές διπλωματικές αποστολές, έγραψαν σε ένα blog post Δημοσιεύθηκε στις 27 Φεβρουαρίου. Ο ηθοποιός - που ονομάστηκε κατάλληλα "SpikedWine" - χρησιμοποίησε ένα αρχείο PDF σε email που υποτίθεται ότι ήταν μια επιστολή πρόσκλησης από τον πρέσβη της Ινδίας, προσκαλώντας διπλωμάτες σε μια εκδήλωση γευσιγνωσίας κρασιού στις 2 Φεβρουαρίου.
«Πιστεύουμε ότι ένας παράγοντας απειλής έθνους-κράτους, που ενδιαφέρεται να εκμεταλλευτεί τις γεωπολιτικές σχέσεις μεταξύ της Ινδίας και των διπλωματών στα ευρωπαϊκά έθνη, πραγματοποίησε αυτήν την επίθεση», έγραψαν στην ανάρτηση οι ερευνητές του Zscaler ThreatLabz, Sudeep Singh και Roy Tay.
Το ωφέλιμο φορτίο της καμπάνιας είναι α κερκόπορτα που οι ερευνητές ονόμασαν "WineLoader", το οποίο έχει αρθρωτό σχεδιασμό και χρησιμοποιεί τεχνικές ειδικά για να αποφύγει τον εντοπισμό. Αυτά περιλαμβάνουν την εκ νέου κρυπτογράφηση και τον μηδενισμό των buffer μνήμης, τα οποία χρησιμεύουν για τη φύλαξη ευαίσθητων δεδομένων στη μνήμη και την αποφυγή λύσεων εγκληματολογίας της μνήμης, σημείωσαν οι ερευνητές.
Το SpikedWine χρησιμοποίησε παραβιασμένους ιστότοπους για εντολή και έλεγχο (C2) σε πολλαπλά στάδια της αλυσίδας επίθεσης, η οποία ξεκινά όταν ένα θύμα κάνει κλικ σε έναν σύνδεσμο στο PDF και τελειώνει με την αρθρωτή παράδοση του WineLoader. Συνολικά, οι κυβερνοεπιτιθέμενοι έδειξαν υψηλό επίπεδο πολυπλοκότητας τόσο στη δημιουργική δημιουργία της κοινωνικά σχεδιασμένης εκστρατείας όσο και στο κακόβουλο λογισμικό, είπαν οι ερευνητές.
Το SpikedWine αποκαλύπτει πολλαπλές φάσεις κυβερνοεπίθεσης
Ο Zscaler ThreatLabz ανακάλυψε το αρχείο PDF — την πρόσκληση σε μια υποτιθέμενη δοκιμή κρασιού στην κατοικία του Ινδού πρέσβη — που ανέβηκε στο VirusTotal από τη Λετονία στις 30 Ιανουαρίου. Οι επιτιθέμενοι δημιούργησαν προσεκτικά το περιεχόμενο για να υποδυθούν τον πρεσβευτή της Ινδίας και η πρόσκληση περιλαμβάνει κακόβουλο σύνδεσμο σε ένα πλαστό ερωτηματολόγιο με την προϋπόθεση ότι πρέπει να συμπληρωθεί για να συμμετάσχετε.
Το κλικ — εσφαλμένα, κάνοντας κλικ — στον σύνδεσμο ανακατευθύνει τους χρήστες σε έναν παραβιασμένο ιστότοπο που προχωρά στη λήψη ενός αρχείου zip που περιέχει ένα αρχείο που ονομάζεται "wine.hta". Το ληφθέν αρχείο περιέχει ασαφή κώδικα JavaScript που εκτελεί το επόμενο στάδιο της επίθεσης.
Τελικά, το αρχείο εκτελεί ένα αρχείο με το όνομα sqlwriter.exe από τη διαδρομή: C:WindowsTasks για να ξεκινήσει η αλυσίδα μόλυνσης της κερκόπορτας WineLoader φορτώνοντας ένα κακόβουλο DLL με το όνομα vcruntime140.dll. Αυτό με τη σειρά του εκτελεί μια εξαγόμενη συνάρτηση set_se_translator, το οποίο αποκρυπτογραφεί την ενσωματωμένη μονάδα πυρήνα WineLoader εντός του DLL χρησιμοποιώντας ένα σκληρό κωδικοποιημένο κλειδί RC256 4 byte προτού το εκτελέσει.
WineLoader: Modular, Persistent Backdoor Malware
Το WineLoader έχει πολλές ενότητες, καθεμία από τις οποίες αποτελείται από δεδομένα διαμόρφωσης, ένα κλειδί RC4 και κρυπτογραφημένες συμβολοσειρές, ακολουθούμενες από τον κωδικό της μονάδας. Οι ενότητες που παρατήρησαν οι ερευνητές περιλαμβάνουν μια βασική ενότητα και μια ενότητα επιμονής.
Η βασική μονάδα υποστηρίζει τρεις εντολές: την εκτέλεση μονάδων από τον διακομιστή εντολών και ελέγχου (C2) είτε συγχρονισμένα είτε ασύγχρονα. την ένεση της κερκόπορτας σε άλλο DLL. και την ενημέρωση του διαστήματος ύπνου μεταξύ των αιτημάτων beacon.
Η ενότητα επιμονής έχει ως στόχο να επιτρέπει η πίσω πόρτα να εκτελείται σε συγκεκριμένα χρονικά διαστήματα. Προσφέρει επίσης μια εναλλακτική ρύθμιση παραμέτρων για τη δημιουργία εμμονής μητρώου σε άλλη τοποθεσία σε ένα στοχευμένο μηχάνημα.
Οι τακτικές αποφυγής του Cyberttacker
Το WineLoader έχει μια σειρά από λειτουργίες που στοχεύουν ειδικά στην αποφυγή ανίχνευσης, επιδεικνύοντας ένα αξιοσημείωτο επίπεδο πολυπλοκότητας από το SpikedWine, είπαν οι ερευνητές. Κρυπτογραφεί τη βασική μονάδα και τις επόμενες μονάδες που λαμβάνονται από τον διακομιστή C2, τις συμβολοσειρές και τα δεδομένα που αποστέλλονται και λαμβάνονται από το C2 — με ένα κλειδί RC256 4 byte με σκληρό κώδικα.
Το κακόβουλο λογισμικό αποκρυπτογραφεί επίσης ορισμένες συμβολοσειρές κατά τη χρήση που στη συνέχεια κρυπτογραφούνται εκ νέου αμέσως μετά, είπαν οι ερευνητές. Και περιλαμβάνει buffer μνήμης που αποθηκεύουν αποτελέσματα από κλήσεις API, καθώς και αντικαθιστά τις αποκρυπτογραφημένες συμβολοσειρές με μηδενικά μετά τη χρήση.
Μια άλλη αξιοσημείωτη πτυχή του τρόπου λειτουργίας του SpikedWine είναι ότι ο ηθοποιός χρησιμοποιεί υποβαθμισμένη υποδομή δικτύου σε όλα τα στάδια της αλυσίδας επίθεσης. Συγκεκριμένα, οι ερευνητές εντόπισαν τρεις παραβιασμένους ιστότοπους που χρησιμοποιούνται για τη φιλοξενία ενδιάμεσων ωφέλιμων φορτίων ή ως διακομιστές C2, είπαν.
Προστασία και ανίχνευση (Πώς να αποφύγετε τους λεκέδες από κόκκινο κρασί)
Το Zscaler ThreatLabz έχει ειδοποιήσει τις επαφές του στο Εθνικό Κέντρο Πληροφορικής (NIC) στην Ινδία σχετικά με την κατάχρηση θεμάτων της ινδικής κυβέρνησης στην επίθεση.
Καθώς ο διακομιστής C2 που χρησιμοποιείται στην επίθεση ανταποκρίνεται μόνο σε συγκεκριμένους τύπους αιτημάτων σε συγκεκριμένες χρονικές στιγμές, οι αυτοματοποιημένες λύσεις ανάλυσης δεν μπορούν να ανακτήσουν απαντήσεις C2 και αρθρωτά ωφέλιμα φορτία για εντοπισμό και ανάλυση, είπαν οι ερευνητές. Για να βοηθήσουν τους υπερασπιστές, συμπεριέλαβαν μια λίστα με δείκτες συμβιβασμού (IoC) και διευθύνσεις URL που σχετίζονται με την επίθεση στην ανάρτηση του ιστολογίου τους.
Ένα πολυεπίπεδο πλατφόρμα ασφαλείας cloud θα πρέπει να ανιχνεύει IoC που σχετίζονται με το WineLoader σε διάφορα επίπεδα, όπως όλα τα αρχεία με το όνομα απειλής, Win64.Downloader.WineLoader, σημείωσαν οι ερευνητές.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :έχει
- :είναι
- 27
- 30
- 7
- a
- Σχετικα
- κατάχρηση
- Μετά το
- κατά
- Απευθύνεται
- Όλα
- Επιτρέποντας
- Επίσης
- εναλλακτική λύση
- Πρεσβευτής
- an
- ανάλυση
- και
- Άλλος
- κάθε
- api
- κατάλληλα
- Αρχείο
- ΕΙΝΑΙ
- AS
- άποψη
- συσχετισμένη
- At
- επίθεση
- Αυτοματοποιημένη
- αποφύγετε
- κερκόπορτα
- BE
- φάρος
- ήταν
- πριν
- πίσω
- Πιστεύω
- μεταξύ
- Μπλοκ
- και οι δύο
- by
- που ονομάζεται
- κλήσεις
- Εκστρατεία
- δεν μπορώ
- προσεκτικά
- που
- Κέντρο
- ορισμένες
- αλυσίδα
- χαρακτηριστικός
- κωδικός
- συμβιβασμός
- Συμβιβασμένος
- διαμόρφωση
- αποτελείται
- Επαφές
- Περιέχει
- περιεχόμενα
- πυρήνας
- χώρες
- δημιουργημένο
- Δημιουργικός
- πολιτιστικός
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- ημερομηνία
- Υπερασπιστές
- παραδώσει
- διανομή
- αποδεικνύοντας
- Υπηρεσίες
- ανίχνευση
- Ανίχνευση
- διπλωμάτες
- ανακάλυψαν
- κατεβάσετε
- μεταγλωττισμένο
- κάθε
- είτε
- ενσωματωμένο
- απασχολεί
- κρυπτογραφημένα
- τελειώνει
- μηχανικής
- απολαύσετε
- εγκαθιδρύω
- EU
- ευρωπαϊκός
- Ευρωπαϊκή Ένωση
- Ευρωπαϊκή Ένωση (ΕΕ)
- διαφυγής
- Συμβάν
- εκτελέσει
- Εκτελεί
- εκτέλεσης
- εκτέλεση
- εκμετάλλευση
- απομίμηση
- Φεβρουάριος
- Αρχεία
- Αρχεία
- γεμάτο
- τέλος
- ακολουθείται
- Για
- ιατροδικαστική
- από
- λειτουργία
- λειτουργίες
- γεωπολιτικό
- Κυβέρνηση
- φρουρά
- Έχω
- βοήθεια
- Ψηλά
- φιλοξενία
- Πως
- Πώς να
- HTTPS
- προσδιορίζονται
- υποδύομαι
- in
- περιλαμβάνουν
- περιλαμβάνονται
- περιλαμβάνει
- Ινδία
- Ινδός
- ινδική κυβέρνηση
- δείκτες
- Υποδομή
- ενδιαφερόμενος
- σε
- πρόσκληση
- προσκαλούν
- ελκυστικός
- IT
- εαυτό
- Ιανουάριος
- το JavaScript
- Κλειδί
- γνωστός
- ΛΕΤΟΝΙΑ
- επιστολή
- Επίπεδο
- επίπεδα
- LINK
- Λιστα
- φόρτωση
- τοποθεσία
- μηχανή
- κακόβουλο
- malware
- Μνήμη
- αποστολές
- σπονδυλωτή
- Μονάδα μέτρησης
- ενότητες
- Πολυεπίπεδο
- πολλαπλούς
- πρέπει
- όνομα
- Ονομάστηκε
- εθνικός
- Εθνών
- δίκτυο
- επόμενη
- αξιοσημείωτο
- Σημειώνεται
- αριθμός
- of
- προσφορές
- υπάλληλοι
- on
- αποκλειστικά
- λειτουργεί
- λειτουργία
- or
- τάξη
- έξω
- φόρμες
- συμμετέχω
- μονοπάτι
- επιμονή
- φάσεις
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Θέση
- πρόσοδοι
- προστασία
- δημοσιεύθηκε
- έλαβε
- πρόσφατος
- Red
- μητρώου
- σχετίζεται με
- συγγένειες
- αιτήματα
- ερευνητές
- Κατοικία
- απαντήσεις
- Αποτελέσματα
- Roy
- s
- Είπε
- ασφάλεια
- ευαίσθητος
- αποστέλλονται
- εξυπηρετούν
- διακομιστής
- Διακομιστές
- διάφοροι
- Σύντομα
- θα πρέπει να
- έδειξε
- ιστοσελίδα
- ύπνος
- κοινωνικά
- Λύσεις
- μερικοί
- επιτήδευση
- συγκεκριμένες
- ειδικά
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- Στάδιο
- στάδια
- Εκκίνηση
- ξεκινά
- κατάστημα
- μεταγενέστερος
- τέτοιος
- Υποστηρίζει
- τακτική
- στοχευμένες
- Tay
- τεχνικές
- ότι
- Η
- τους
- Τους
- θέματα
- τότε
- αυτοί
- αυτό
- εκείνοι
- απειλή
- τρία
- φορές
- προς την
- ΣΤΡΟΦΗ
- τύποι
- υπό
- ένωση
- ενημέρωση
- Φορτώθηκε
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- διάφορα
- Θύμα
- we
- ιστοσελίδες
- ΛΟΙΠΌΝ
- πότε
- Ποιό
- ΚΡΑΣΙ
- με
- εντός
- Έγραψε
- zephyrnet
- Zip
