مهاجمان سایبری دیپلمات های اتحادیه اروپا را با پیشنهادات مزه شراب فریب می دهند

اروپایی‌ها از شراب خوب لذت می‌برند، یک ویژگی فرهنگی که توسط مهاجمان در پشت کمپین تهدید اخیر علیه آنها استفاده شده است. عملیات سایبری با هدف ارائه یک درب پشتی رمان با فریب دیپلمات‌های اتحادیه اروپا (EU) با یک رویداد تقلبی مزه شراب.

محققان در Zscaler's ThreatLabz این کمپین را کشف کردند که به طور خاص مقامات کشورهای اتحادیه اروپا دارای نمایندگی های دیپلماتیک هند را هدف قرار می داد. در یک پست وبلاگ منتشر شده در 27 فوریه. این بازیگر - که به درستی "SpikedWine" نامیده می شود - از یک فایل PDF در ایمیل هایی استفاده کرد که ظاهراً دعوت نامه ای از سفیر هند است و دیپلمات ها را به یک رویداد مزه شراب در 2 فوریه دعوت می کرد.

سودیپ سینگ و روی تای، محققین Zscaler ThreatLabz در این پست نوشتند: «ما معتقدیم که یک بازیگر تهدید کننده دولت-ملت، علاقه مند به بهره برداری از روابط ژئوپلیتیکی بین هند و دیپلمات ها در کشورهای اروپایی، این حمله را انجام داده است.

بار کمپین یک است درپشتی که محققان آن را "WineLoader" نامیده‌اند که طراحی مدولار دارد و از تکنیک‌هایی به‌طور خاص برای فرار از تشخیص استفاده می‌کند. محققان خاطرنشان کردند که این موارد شامل رمزگذاری مجدد و صفر کردن بافرهای حافظه است که به محافظت از داده های حساس در حافظه و فرار از راه حل های پزشکی قانونی حافظه کمک می کند.

SpikedWine از وب‌سایت‌های در معرض خطر برای فرمان و کنترل (C2) در مراحل مختلف زنجیره حمله استفاده می‌کند، که با کلیک قربانی روی پیوندی در PDF شروع می‌شود و با تحویل مدولار WineLoader پایان می‌یابد. به گفته محققان، به طور کلی، مهاجمان سایبری سطح بالایی از پیچیدگی را هم در ساخت خلاقانه کمپین مهندسی شده اجتماعی و هم در بدافزار نشان دادند.

SpikedWine چندین مرحله حمله سایبری را باز می کند

Zscaler ThreatLabz فایل PDF را کشف کرد - دعوت به یک مزه شراب ادعایی در اقامتگاه سفیر هند - که در 30 ژانویه از لتونی در VirusTotal بارگذاری شده بود. مهاجمان محتوا را با دقت طراحی کردند تا جعل هویت سفیر هند باشند، و این دعوت نامه حاوی یک پیوند مخرب است. به یک پرسشنامه جعلی با این فرض که برای شرکت باید پر شود.

کلیک کردن روی پیوند - اشتباه، کلیک کردن - کاربران را به یک سایت در معرض خطر هدایت می کند که به دانلود یک آرشیو فشرده حاوی فایلی به نام "wine.hta" ادامه می دهد. فایل دانلود شده حاوی کد جاوا اسکریپت مبهم است که مرحله بعدی حمله را اجرا می کند.

در نهایت، فایل فایلی به نام sqlwriter.exe را از مسیر: C:WindowsTasks اجرا می کند تا با بارگذاری یک DLL مخرب به نام vcruntime140.dll، زنجیره عفونت درب پشتی WineLoader را راه اندازی کند. این به نوبه خود یک تابع صادراتی را اجرا می کند set_se_translator، که قبل از اجرای آن، ماژول هسته WineLoader تعبیه شده را در DLL با استفاده از یک کلید RC256 4 بایتی رمزگشایی می کند.

WineLoader: بدافزار ماژولار، درب پشتی دائمی

WineLoader دارای چندین ماژول است که هر کدام از داده های پیکربندی، یک کلید RC4 و رشته های رمزگذاری شده و به دنبال آن کد ماژول تشکیل شده است. ماژول های مشاهده شده توسط محققان شامل یک ماژول اصلی و یک ماژول پایداری است.

ماژول اصلی از سه دستور پشتیبانی می کند: اجرای ماژول ها از سرور فرمان و کنترل (C2) به صورت همزمان یا ناهمزمان. تزریق درب پشتی به DLL دیگر. و به روز رسانی فاصله خواب بین درخواست های چراغ.

هدف ماژول تداوم اجازه دادن است در پشتی تا خود را در فواصل زمانی معین اجرا کند. همچنین یک پیکربندی جایگزین برای ایجاد ماندگاری رجیستری در مکان دیگری بر روی یک ماشین مورد نظر ارائه می دهد.

تاکتیک های فراری مهاجم سایبر

به گفته محققان، WineLoader دارای تعدادی عملکرد خاص برای فرار از تشخیص است که نشان دهنده سطح قابل توجهی از پیچیدگی SpikedWine است. ماژول اصلی و ماژول‌های بعدی دانلود شده از سرور C2، رشته‌ها و داده‌های ارسال و دریافت شده از C2 را رمزگذاری می‌کند - با یک کلید RC256 4 بایتی.

به گفته محققان، این بدافزار همچنین برخی رشته ها را در هنگام استفاده رمزگشایی می کند که پس از مدت کوتاهی دوباره رمزگذاری می شوند. و شامل بافرهای حافظه است که نتایج حاصل از تماس های API را ذخیره می کند و همچنین رشته های رمزگشایی شده را پس از استفاده با صفر جایگزین می کند.

یکی دیگر از جنبه های قابل توجه نحوه عملکرد SpikedWine این است که بازیگر از زیرساخت شبکه آسیب دیده در تمام مراحل زنجیره حمله استفاده می کند. به‌طور خاص، محققان سه وب‌سایت در معرض خطر را شناسایی کردند که برای میزبانی بارهای میانی یا به‌عنوان سرورهای C2 استفاده می‌شوند.

حفاظت و تشخیص (چگونه از لکه های شراب قرمز جلوگیری کنیم)

Zscaler ThreatLabz به مخاطبین مرکز ملی انفورماتیک (NIC) در هند در مورد سوء استفاده از مضامین دولت هند در این حمله اطلاع داده است.

به گفته محققان، از آنجایی که سرور C2 مورد استفاده در حمله تنها به انواع خاصی از درخواست‌ها در زمان‌های خاص پاسخ می‌دهد، راه‌حل‌های تحلیل خودکار نمی‌توانند پاسخ‌های C2 و بارهای مدولار را برای شناسایی و تجزیه و تحلیل بازیابی کنند. برای کمک به مدافعان، آنها فهرستی از شاخص های سازش (IoC) و URL های مرتبط با حمله را در پست وبلاگ خود قرار دادند.

چند لایه پلت فرم امنیت ابری محققان خاطرنشان کردند که باید IoC های مربوط به WineLoader را در سطوح مختلف شناسایی کند، مانند هر فایلی با نام تهدید Win64.Downloader.WineLoader.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers