Küberründajad meelitavad ELi diplomaate veini degusteerimispakkumistega

Eurooplased naudivad teatavasti head veini – kultuurilist eripära, mida hiljutise ohukampaania taga ründajad nende vastu ära kasutasid. Küberoperatsiooni eesmärk oli pakkuda a romaani tagauks meelitades Euroopa Liidu (EL) diplomaate võltsveinide degusteerimisüritusega.

Zscaleri ThreatLabzi teadlased avastasid kampaania, mis oli suunatud konkreetselt India diplomaatiliste esindustega ELi riikide ametnikele, kirjutasid nad. In blogi postitus ilmus 27. veebruaril. Näitleja – sobiva nimetusega "SpikedWine" - kasutas e-kirjades PDF-faili, mis väidetavalt oli India suursaadiku kutse, mis kutsus diplomaate 2. veebruaril toimuvale veini degusteerimisele.

"Usume, et selle rünnaku sooritas rahvusriiki ohustaja, kes on huvitatud geopoliitiliste suhete ärakasutamisest India ja Euroopa riikide diplomaatide vahel," kirjutasid Zscaler ThreatLabzi teadlased Sudeep Singh ja Roy Tay postituses.

Kampaania kandevõime on a tagauks mida teadlased on nimetanud "WineLoaderiks", millel on modulaarne disain ja mis kasutab spetsiaalselt tuvastamisest kõrvalehoidmiseks mõeldud tehnikaid. Teadlased märkisid, et need hõlmavad uuesti krüptimist ja mälupuhvrite nullimist, mis kaitsevad mälus tundlikke andmeid ja väldivad mälu kohtuekspertiisi lahendusi.

SpikedWine kasutas käsu- ja juhtimiseks (C2) ründeahela mitmes etapis ohustatud veebisaite, mis algab siis, kui ohver klõpsab PDF-failis lingil ja lõpeb WineLoaderi modulaarse kohaletoimetamisega. Teadlaste sõnul näitasid küberründajad üldiselt kõrget keerukust nii sotsiaalselt loodud kampaania kui ka pahavara loomingulises koostamises.

SpikedWine avab mitu küberrünnaku faasi

Zscaler ThreatLabz avastas 30. jaanuaril Lätist VirusTotali üles laaditud PDF-faili – kutse väidetavale veini degusteerimisele India suursaadiku residentsis. Ründajad koostasid sisu hoolikalt, et kehastada India suursaadikuks, ning kutse sisaldab pahatahtlikku linki. võltsitud küsimustikule eeldusel, et osalemiseks tuleb see täita.

Lingil klõpsamine – eksitus, klõpsamine – suunab kasutajad ohustatud saidile, mis hakkab alla laadima ZIP-arhiivi, mis sisaldab faili nimega "wine.hta". Allalaaditud fail sisaldab hägustatud JavaScripti koodi, mis käivitab rünnaku järgmise etapi.

Lõpuks käivitab fail faili nimega sqlwriter.exe asukohast: C:WindowsTasks, et käivitada WineLoaderi tagaukse nakatumise kett, laadides pahatahtliku DLL-i nimega vcruntime140.dll. See omakorda täidab eksporditud funktsiooni set_se_translator, mis dekrüpteerib DLL-is manustatud WineLoaderi tuummooduli, kasutades enne selle käivitamist kõvakoodiga 256-baidist RC4-võtit.

WineLoader: modulaarne, püsiv tagaukse pahavara

WineLoaderil on mitu moodulit, millest igaüks koosneb konfiguratsiooniandmetest, RC4 võtmest ja krüptitud stringidest, millele järgneb mooduli kood. Teadlaste vaadeldud moodulid hõlmavad põhimoodulit ja püsivusmoodulit.

Põhimoodul toetab kolme käsku: moodulite täitmine käsu-ja-juhtimisserverist (C2) kas sünkroonselt või asünkroonselt; tagaukse sisestamine teise DLL-i; ja uneintervalli värskendamine majakapäringute vahel.

Püsivusmooduli eesmärk on võimaldada tagauks teatud ajavahemike järel ennast teostama. Samuti pakub see alternatiivset konfiguratsiooni registri püsivuse loomiseks sihitud masina teises asukohas.

Cybertackeri kõrvalehoidmise taktikad

Teadlaste sõnul on WineLoaderil mitmeid funktsioone, mis on spetsiaalselt suunatud tuvastamisest kõrvalehoidmiseks, mis näitab SpikedWine'i märkimisväärset keerukust. See krüpteerib põhimooduli ja järgnevad C2-serverist alla laaditud moodulid, stringid ning C2-st saadetud ja vastuvõetud andmed – kõvakodeeritud 256-baidise RC4 võtmega.

Teadlaste sõnul dekrüpteerib pahavara ka mõned stringid, mis seejärel varsti pärast seda uuesti krüpteeritakse. Ja see sisaldab mälupuhvreid, mis salvestavad API-kõnede tulemusi, samuti asendab dekrüpteeritud stringid pärast kasutamist nullidega.

Teine tähelepanuväärne aspekt SpikedWine'i toimimises on see, et näitleja kasutab ründeahela kõigil etappidel ohustatud võrguinfrastruktuuri. Täpsemalt tuvastasid teadlased kolm ohustatud veebisaiti, mida kasutatakse vahepealsete kasulike koormuste majutamiseks või C2-serveritena, ütlesid nad.

Kaitse ja tuvastamine (kuidas vältida punase veini plekke)

Zscaler ThreatLabz on teavitanud India riikliku informaatikakeskuse (NIC) kontakte India valitsuse teemade kuritarvitamisest rünnakus.

Kuna ründes kasutatav C2 server vastab teatud aegadel ainult teatud tüüpi päringutele, ei saa automatiseeritud analüüsilahendused tuvastamiseks ja analüüsimiseks hankida C2 vastuseid ja modulaarseid kasulikke koormusi, ütlesid teadlased. Kaitsjate abistamiseks lisasid nad oma ajaveebi postitusse kompromissi indikaatorite (IoC) ja rünnakuga seotud URL-ide loendi.

Mitmekihiline pilve turvaplatvorm Teadlased märkisid, et see peaks tuvastama erinevatel tasanditel WineLoaderiga seotud IoC-sid, nagu kõik failid ohunimega Win64.Downloader.WineLoader.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers