اروپاییها از شراب خوب لذت میبرند، یک ویژگی فرهنگی که توسط مهاجمان در پشت کمپین تهدید اخیر علیه آنها استفاده شده است. عملیات سایبری با هدف ارائه یک درب پشتی رمان با فریب دیپلماتهای اتحادیه اروپا (EU) با یک رویداد تقلبی مزه شراب.
محققان در Zscaler's ThreatLabz این کمپین را کشف کردند که به طور خاص مقامات کشورهای اتحادیه اروپا دارای نمایندگی های دیپلماتیک هند را هدف قرار می داد. در یک پست وبلاگ منتشر شده در 27 فوریه. این بازیگر - که به درستی "SpikedWine" نامیده می شود - از یک فایل PDF در ایمیل هایی استفاده کرد که ظاهراً دعوت نامه ای از سفیر هند است و دیپلمات ها را به یک رویداد مزه شراب در 2 فوریه دعوت می کرد.
سودیپ سینگ و روی تای، محققین Zscaler ThreatLabz در این پست نوشتند: «ما معتقدیم که یک بازیگر تهدید کننده دولت-ملت، علاقه مند به بهره برداری از روابط ژئوپلیتیکی بین هند و دیپلمات ها در کشورهای اروپایی، این حمله را انجام داده است.
بار کمپین یک است درپشتی که محققان آن را "WineLoader" نامیدهاند که طراحی مدولار دارد و از تکنیکهایی بهطور خاص برای فرار از تشخیص استفاده میکند. محققان خاطرنشان کردند که این موارد شامل رمزگذاری مجدد و صفر کردن بافرهای حافظه است که به محافظت از داده های حساس در حافظه و فرار از راه حل های پزشکی قانونی حافظه کمک می کند.
SpikedWine از وبسایتهای در معرض خطر برای فرمان و کنترل (C2) در مراحل مختلف زنجیره حمله استفاده میکند، که با کلیک قربانی روی پیوندی در PDF شروع میشود و با تحویل مدولار WineLoader پایان مییابد. به گفته محققان، به طور کلی، مهاجمان سایبری سطح بالایی از پیچیدگی را هم در ساخت خلاقانه کمپین مهندسی شده اجتماعی و هم در بدافزار نشان دادند.
SpikedWine چندین مرحله حمله سایبری را باز می کند
Zscaler ThreatLabz فایل PDF را کشف کرد - دعوت به یک مزه شراب ادعایی در اقامتگاه سفیر هند - که در 30 ژانویه از لتونی در VirusTotal بارگذاری شده بود. مهاجمان محتوا را با دقت طراحی کردند تا جعل هویت سفیر هند باشند، و این دعوت نامه حاوی یک پیوند مخرب است. به یک پرسشنامه جعلی با این فرض که برای شرکت باید پر شود.
کلیک کردن روی پیوند - اشتباه، کلیک کردن - کاربران را به یک سایت در معرض خطر هدایت می کند که به دانلود یک آرشیو فشرده حاوی فایلی به نام "wine.hta" ادامه می دهد. فایل دانلود شده حاوی کد جاوا اسکریپت مبهم است که مرحله بعدی حمله را اجرا می کند.
در نهایت، فایل فایلی به نام sqlwriter.exe را از مسیر: C:WindowsTasks اجرا می کند تا با بارگذاری یک DLL مخرب به نام vcruntime140.dll، زنجیره عفونت درب پشتی WineLoader را راه اندازی کند. این به نوبه خود یک تابع صادراتی را اجرا می کند set_se_translator، که قبل از اجرای آن، ماژول هسته WineLoader تعبیه شده را در DLL با استفاده از یک کلید RC256 4 بایتی رمزگشایی می کند.
WineLoader: بدافزار ماژولار، درب پشتی دائمی
WineLoader دارای چندین ماژول است که هر کدام از داده های پیکربندی، یک کلید RC4 و رشته های رمزگذاری شده و به دنبال آن کد ماژول تشکیل شده است. ماژول های مشاهده شده توسط محققان شامل یک ماژول اصلی و یک ماژول پایداری است.
ماژول اصلی از سه دستور پشتیبانی می کند: اجرای ماژول ها از سرور فرمان و کنترل (C2) به صورت همزمان یا ناهمزمان. تزریق درب پشتی به DLL دیگر. و به روز رسانی فاصله خواب بین درخواست های چراغ.
هدف ماژول تداوم اجازه دادن است در پشتی تا خود را در فواصل زمانی معین اجرا کند. همچنین یک پیکربندی جایگزین برای ایجاد ماندگاری رجیستری در مکان دیگری بر روی یک ماشین مورد نظر ارائه می دهد.
تاکتیک های فراری مهاجم سایبر
به گفته محققان، WineLoader دارای تعدادی عملکرد خاص برای فرار از تشخیص است که نشان دهنده سطح قابل توجهی از پیچیدگی SpikedWine است. ماژول اصلی و ماژولهای بعدی دانلود شده از سرور C2، رشتهها و دادههای ارسال و دریافت شده از C2 را رمزگذاری میکند - با یک کلید RC256 4 بایتی.
به گفته محققان، این بدافزار همچنین برخی رشته ها را در هنگام استفاده رمزگشایی می کند که پس از مدت کوتاهی دوباره رمزگذاری می شوند. و شامل بافرهای حافظه است که نتایج حاصل از تماس های API را ذخیره می کند و همچنین رشته های رمزگشایی شده را پس از استفاده با صفر جایگزین می کند.
یکی دیگر از جنبه های قابل توجه نحوه عملکرد SpikedWine این است که بازیگر از زیرساخت شبکه آسیب دیده در تمام مراحل زنجیره حمله استفاده می کند. بهطور خاص، محققان سه وبسایت در معرض خطر را شناسایی کردند که برای میزبانی بارهای میانی یا بهعنوان سرورهای C2 استفاده میشوند.
حفاظت و تشخیص (چگونه از لکه های شراب قرمز جلوگیری کنیم)
Zscaler ThreatLabz به مخاطبین مرکز ملی انفورماتیک (NIC) در هند در مورد سوء استفاده از مضامین دولت هند در این حمله اطلاع داده است.
به گفته محققان، از آنجایی که سرور C2 مورد استفاده در حمله تنها به انواع خاصی از درخواستها در زمانهای خاص پاسخ میدهد، راهحلهای تحلیل خودکار نمیتوانند پاسخهای C2 و بارهای مدولار را برای شناسایی و تجزیه و تحلیل بازیابی کنند. برای کمک به مدافعان، آنها فهرستی از شاخص های سازش (IoC) و URL های مرتبط با حمله را در پست وبلاگ خود قرار دادند.
چند لایه پلت فرم امنیت ابری محققان خاطرنشان کردند که باید IoC های مربوط به WineLoader را در سطوح مختلف شناسایی کند، مانند هر فایلی با نام تهدید Win64.Downloader.WineLoader.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- : دارد
- :است
- 27
- 30
- 7
- a
- درباره ما
- سو استفاده کردن
- پس از
- در برابر
- هدف
- معرفی
- اجازه دادن
- همچنین
- جایگزین
- سفیر
- an
- تحلیل
- و
- دیگر
- هر
- API
- به درستی
- بایگانی
- هستند
- AS
- ظاهر
- مرتبط است
- At
- حمله
- خودکار
- اجتناب از
- درپشتی
- BE
- چراغ
- بوده
- قبل از
- پشت سر
- باور
- میان
- بلاگ
- هر دو
- by
- نام
- تماس ها
- کمپین بین المللی حقوق بشر
- نمی توان
- Осторожно
- انجام
- مرکز
- معین
- زنجیر
- مشخصه
- رمز
- سازش
- در معرض خطر
- پیکر بندی
- تشکیل شده است
- اطلاعات تماس
- شامل
- محتویات
- هسته
- کشور
- طراحی شده
- خالق
- فرهنگی
- سایبر
- حمله سایبری
- داده ها
- مدافعان
- ارائه
- تحویل
- نشان دادن
- طرح
- تشخیص
- کشف
- دیپلمات
- کشف
- دانلود
- دوبله شده
- هر
- هر دو
- ایمیل
- جاسازی شده
- کار می کند
- رمزگذاری
- به پایان می رسد
- مهندسی
- لذت بردن
- ایجاد
- EU
- اروپایی
- اتحادیه اروپا
- اتحادیه اروپا (اتحادیه اروپا)
- فرار کردن
- واقعه
- اجرا کردن
- اجرا می کند
- اجرا کردن
- اعدام
- بهره برداری از
- جعلی
- فوریه
- پرونده
- فایل ها
- پر شده
- پایان
- به دنبال
- برای
- پزشکی قانونی
- از جانب
- تابع
- توابع
- جغرافیای سیاسی
- دولت
- گارد
- آیا
- کمک
- زیاد
- میزبانی وب
- چگونه
- چگونه
- HTTPS
- شناسایی
- جعل هویت
- in
- شامل
- مشمول
- شامل
- هندوستان
- هندی
- دولت هند
- شاخص ها
- شالوده
- علاقه مند
- به
- دعوت
- دعوت
- دعوت کردن
- IT
- خود
- ژان
- جاوا اسکریپت
- کلید
- شناخته شده
- LATVIA
- نامه
- سطح
- سطح
- ارتباط دادن
- فهرست
- بارگیری
- محل
- دستگاه
- مخرب
- نرم افزارهای مخرب
- حافظه
- ماموریت
- پیمانهای
- ماژول ها
- ماژول ها
- چند لایه
- چندگانه
- باید
- نام
- تحت عنوان
- ملی
- سازمان ملل
- شبکه
- بعد
- قابل توجه
- اشاره کرد
- عدد
- of
- پیشنهادات
- مقامات
- on
- فقط
- عمل می کند
- عمل
- or
- سفارش
- خارج
- به طور کلی
- شرکت کردن
- مسیر
- اصرار
- فاز
- افلاطون
- هوش داده افلاطون
- PlatoData
- پست
- درآمد حاصل
- حفاظت
- منتشر شده
- اخذ شده
- اخیر
- قرمز
- رجیستری
- مربوط
- روابط
- درخواست
- محققان
- اقامتگاه
- پاسخ
- نتایج
- روی
- s
- سعید
- تیم امنیت لاتاری
- حساس
- فرستاده
- خدمت
- سرور
- سرور
- چند
- به زودی
- باید
- نشان داد
- سایت
- خواب
- اجتماعی
- مزایا
- برخی از
- پیچیدگی
- خاص
- به طور خاص
- حمایت مالی
- صحنه
- مراحل
- شروع
- شروع می شود
- opbevare
- متعاقب
- چنین
- پشتیبانی از
- تاکتیک
- هدف قرار
- بله
- تکنیک
- که
- La
- شان
- آنها
- تم
- سپس
- آنها
- این
- کسانی که
- تهدید
- سه
- بار
- به
- دور زدن
- انواع
- زیر
- اتحادیه
- به روز رسانی
- آپلود شده
- استفاده کنید
- استفاده
- کاربران
- استفاده
- با استفاده از
- مختلف
- قربانی
- we
- وب سایت
- خوب
- چه زمانی
- که
- شراب
- با
- در داخل
- نوشت
- زفیرنت
- زیپ