Se sabe que los europeos disfrutan del buen vino, una característica cultural que los atacantes detrás de una reciente campaña de amenazas han utilizado en su contra. La operación cibernética tenía como objetivo ofrecer una puerta trasera novela atrayendo a diplomáticos de la Unión Europea (UE) con una cata de vinos falsa.
Los investigadores del ThreatLabz de Zscaler descubrieron la campaña, que apuntaba específicamente a funcionarios de países de la UE con misiones diplomáticas indias, escribieron. en un blog publicado el 27 de febrero. El actor, apropiadamente apodado “SpikedWine”, utilizó un archivo PDF en correos electrónicos que pretendía ser una carta de invitación del embajador de la India, invitando a diplomáticos a un evento de cata de vinos el 2 de febrero.
"Creemos que un actor de amenaza de estado-nación, interesado en explotar las relaciones geopolíticas entre India y diplomáticos en naciones europeas, llevó a cabo este ataque", escribieron en la publicación los investigadores de Zscaler ThreatLabz, Sudeep Singh y Roy Tay.
La carga útil de la campaña es una puerta trasera que los investigadores han llamado “WineLoader”, que tiene un diseño modular y emplea técnicas específicas para evadir la detección. Entre ellos se incluyen el volver a cifrar y poner a cero los buffers de memoria, que sirven para proteger datos confidenciales en la memoria y evadir las soluciones forenses de la memoria, anotaron los investigadores.
SpikedWine utilizó sitios web comprometidos para comando y control (C2) en múltiples etapas de la cadena de ataque, que comienza cuando una víctima hace clic en un enlace del PDF y termina con la entrega modular de WineLoader. En general, los ciberatacantes mostraron un alto nivel de sofisticación tanto en la elaboración creativa de la campaña de ingeniería social como en el malware, dijeron los investigadores.
SpikedWine descorcha múltiples fases de ciberataque
Zscaler ThreatLabz descubrió el archivo PDF (la invitación a una supuesta cata de vinos en la residencia del embajador de la India) subido a VirusTotal desde Letonia el 30 de enero. Los atacantes elaboraron el contenido cuidadosamente para hacerse pasar por el embajador de la India, y la invitación incluye un enlace malicioso. a un cuestionario falso bajo la premisa de que es necesario rellenarlo para poder participar.
Al hacer clic (err, hacer clic) en el enlace se redirige a los usuarios a un sitio comprometido que procede a descargar un archivo zip que contiene un archivo llamado "wine.hta". El archivo descargado contiene código JavaScript ofuscado que ejecuta la siguiente etapa del ataque.
Finalmente, el archivo ejecuta un archivo llamado sqlwriter.exe desde la ruta: C:WindowsTasks para iniciar la cadena de infección de puerta trasera WineLoader cargando una DLL maliciosa llamada vcruntime140.dll. Esto a su vez ejecuta una función exportada. set_se_translator, que descifra el módulo central WineLoader integrado dentro de la DLL utilizando una clave RC256 codificada de 4 bytes antes de ejecutarlo.
WineLoader: malware de puerta trasera modular y persistente
WineLoader tiene varios módulos, cada uno de los cuales consta de datos de configuración, una clave RC4 y cadenas cifradas, seguidas del código del módulo. Los módulos observados por los investigadores incluyen un módulo central y un módulo de persistencia.
El módulo principal admite tres comandos: la ejecución de módulos desde el servidor de comando y control (C2) de forma síncrona o asíncrona; la inyección de la puerta trasera en otra DLL; y la actualización del intervalo de suspensión entre solicitudes de baliza.
El módulo de persistencia tiene como objetivo permitir la puerta de atrás ejecutarse a ciertos intervalos. También ofrece una configuración alternativa para establecer la persistencia del registro en otra ubicación de una máquina de destino.
Las tácticas evasivas del ciberatacante
WineLoader tiene una serie de funciones específicamente destinadas a evadir la detección, lo que demuestra un notable nivel de sofisticación por parte de SpikedWine, dijeron los investigadores. Cifra el módulo principal y los módulos posteriores descargados del servidor C2, las cadenas y los datos enviados y recibidos desde C2, con una clave RC256 codificada de 4 bytes.
El malware también descifra algunas cadenas durante el uso que luego se vuelven a cifrar poco después, dijeron los investigadores. E incluye buffers de memoria que almacenan los resultados de las llamadas API, además de reemplazar las cadenas descifradas con ceros después de su uso.
Otro aspecto notable de cómo opera SpikedWine es que el actor utiliza una infraestructura de red comprometida en todas las etapas de la cadena de ataque. Específicamente, los investigadores identificaron tres sitios web comprometidos utilizados para alojar cargas útiles intermedias o como servidores C2, dijeron.
Protección y detección (cómo evitar las manchas de vino tinto)
Zscaler ThreatLabz ha notificado a sus contactos del Centro Nacional de Informática (NIC) de la India sobre el abuso de temas del gobierno indio en el ataque.
Como el servidor C2 utilizado en el ataque responde solo a tipos específicos de solicitudes en ciertos momentos, las soluciones de análisis automatizadas no pueden recuperar respuestas C2 y cargas útiles modulares para detección y análisis, dijeron los investigadores. Para ayudar a los defensores, incluyeron una lista de indicadores de compromiso (IoC) y URL asociadas con el ataque en su publicación de blog.
Un multicapa plataforma de seguridad en la nube debería detectar IoC relacionados con WineLoader en varios niveles, como cualquier archivo con el nombre de amenaza Win64.Downloader.WineLoader, señalaron los investigadores.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :posee
- :es
- 27
- 30
- 7
- a
- Nuestra Empresa
- abuso
- Después
- en contra
- Dirigido
- Todos
- Permitir
- también
- alternativa
- Marca Virtual
- an
- análisis
- y
- Otra
- cualquier
- abejas
- adecuadamente
- Archive
- somos
- AS
- aspecto
- asociado
- At
- atacar
- Confirmación de Viaje
- evitar
- puerta trasera
- BE
- faro
- esto
- antes
- detrás de
- CREEMOS
- entre
- Blog
- ambas
- by
- , que son
- Calls
- Campaña
- no puede
- estudiar cuidadosamente
- llevado a
- Reubicación
- a ciertos
- cadena
- característica
- código
- compromiso
- Comprometida
- Configuración
- consiste
- contactos
- contiene
- contenido
- Core
- países
- Elaborado
- Estudio
- cultural
- ciber
- Ataque cibernetico
- datos
- los defensores
- entregamos
- entrega
- vas demostrando
- Diseño
- detectar
- Detección
- diplomáticos
- descubierto CRISPR
- descargar
- doblado
- cada una
- ya sea
- correo
- integrado
- emplea
- cifrado
- termina
- ingeniería
- disfrutando
- establecer
- EU
- Europea
- Unión Europea
- Unión Europea (UE)
- escapar
- Evento
- ejecutar
- Ejecuta
- ejecución
- ejecución
- explotando
- falso
- Feb
- Archive
- archivos
- lleno
- en fin
- seguido
- forense
- Desde
- función
- funciones
- geopolítica
- Gobierno
- Guardia
- Tienen
- ayuda
- Alta
- hosting
- Cómo
- Como Hacer
- HTTPS
- no haber aun identificado una solucion para el problema
- personificar
- in
- incluir
- incluido
- incluye
- India
- Indian
- gobierno indio
- indicadores
- EN LA MINA
- interesado
- dentro
- invitación
- invitar
- atractivo
- IT
- sí mismo
- Ene
- JavaScript
- Clave
- conocido
- LETONIA
- carta
- Nivel
- LINK
- Lista
- carga
- Ubicación
- máquina
- malicioso
- el malware
- Salud Cerebral
- misiones
- modulares
- Módulo
- Módulos
- multicapa
- múltiples
- debe
- nombre
- Llamado
- Nacional
- Naciones
- del sistema,
- Next
- notable
- señaló
- número
- of
- Ofertas
- los funcionarios
- on
- , solamente
- opera
- Inteligente
- or
- solicite
- salir
- total
- participar
- camino
- (PDF)
- persistencia
- fases
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Publicación
- producto
- Protección
- publicado
- recibido
- reciente
- Rojo
- registro
- relacionado
- relaciones
- solicitudes
- investigadores
- Residence
- respuestas
- Resultados
- roy
- s
- Said
- EN LINEA
- sensible
- expedido
- ayudar
- servidor
- Servidores
- Varios
- Dentro de poco
- tienes
- mostró
- página web
- sueño
- socialmente
- Soluciones
- algo
- sofisticación
- soluciones y
- específicamente
- Patrocinado
- Etapa
- etapas
- comienzo
- comienza
- tienda
- posterior
- tal
- soportes
- táctica
- afectados
- tay
- técnicas
- esa
- El
- su
- Les
- temas
- luego
- ellos
- así
- aquellos
- amenaza
- Tres
- veces
- a
- GIRO
- tipos
- bajo
- unión
- actualización
- subido
- utilizan el
- usado
- usuarios
- usos
- usando
- diversos
- Víctima
- we
- sitios web
- WELL
- cuando
- que
- VINO
- dentro de
- escribí
- zephyrnet
- Zip
