Kyberhyökkääjät houkuttelevat EU:n diplomaatteja viininmaistajatarjouksilla

Eurooppalaisten tiedetään nauttivan hienosta viinistä, kulttuurista ominaisuutta, jota hyökkääjät ovat käyttäneet heitä vastaan ​​äskettäisen uhkakampanjan takana. Kyberoperaation tavoitteena oli toimittaa a romaani takaovi houkuttelemalla Euroopan unionin (EU) diplomaatteja väärennetyllä viininmaistajaistapahtumalla.

Zscaler's ThreatLabzin tutkijat löysivät kampanjan, joka oli kohdistettu erityisesti EU-maiden virkamiehiin, joilla on Intian diplomaattisia edustustoja, he kirjoittivat. kirjoitusta julkaistiin 27. helmikuuta. Näyttelijä, jota kutsuttiin asianmukaisesti "SpikedWine"ksi, käytti sähköpostiviesteissään PDF-tiedostoa, jonka väitetään olevan Intian suurlähettilään kutsukirje, joka kutsui diplomaatteja viininmaistajaistapahtumaan 2. helmikuuta.

"Uskomme, että kansallisvaltion uhkatekijä, joka oli kiinnostunut hyödyntämään geopoliittisia suhteita Intian ja Euroopan valtioiden diplomaattien välillä, suoritti tämän hyökkäyksen", Zscaler ThreatLabzin tutkijat Sudeep Singh ja Roy Tay kirjoittivat viestissä.

Kampanjan hyötykuorma on a takaoven jota tutkijat ovat kutsuneet nimellä "WineLoader", joka on modulaarinen ja käyttää tekniikoita erityisesti havaitsemisen välttämiseksi. Näitä ovat muun muassa uudelleensalaus ja muistipuskurien nollaus, jotka suojaavat arkaluontoisia tietoja muistissa ja välttelevät muistin rikosteknisiä ratkaisuja, tutkijat huomauttavat.

SpikedWine käytti vaarantuneita verkkosivustoja komentoihin ja hallintaan (C2) hyökkäysketjun useissa vaiheissa, mikä alkaa, kun uhri napsauttaa PDF-linkkiä, ja päättyy WineLoaderin modulaariseen toimitukseen. Kaiken kaikkiaan kyberhyökkääjät osoittivat korkeaa hienostuneisuutta sekä sosiaalisesti suunnitellun kampanjan että haittaohjelmien luomisessa, tutkijat sanoivat.

SpikedWine avaa useita kyberhyökkäysvaiheita

Zscaler ThreatLabz löysi PDF-tiedoston – kutsun väitettyyn viininmaistajaiseen Intian suurlähettilään asunnolla – ladatun VirusTotaliin Latviasta 30. tammikuuta. Hyökkääjät muotoilivat sisällön huolellisesti esiintyäkseen Intian suurlähettiläänä, ja kutsu sisältää haitallisen linkin väärennettyyn kyselyyn sillä oletuksella, että se on täytettävä osallistuakseen.

Linkin napsauttaminen - err, clicking - ohjaa käyttäjät vaarantuneelle sivustolle, joka lataa zip-arkiston, joka sisältää tiedoston nimeltä "wine.hta". Ladattu tiedosto sisältää obfusoitua JavaScript-koodia, joka suorittaa hyökkäyksen seuraavan vaiheen.

Lopulta tiedosto suorittaa tiedoston nimeltä sqlwriter.exe polusta: C:WindowsTasks käynnistääkseen WineLoaderin takaoven tartuntaketjun lataamalla haitallisen DLL-tiedoston nimeltä vcruntime140.dll. Tämä puolestaan ​​suorittaa viedyn toiminnon set_se_translator, joka purkaa sulautetun WineLoader-ydinmoduulin salauksen DLL:ssä käyttämällä kovakoodattua 256-tavuista RC4-avainta ennen sen suorittamista.

WineLoader: Modulaarinen, pysyvä takaoven haittaohjelma

WineLoaderissa on useita moduuleja, joista jokainen koostuu asetustiedoista, RC4-avaimesta ja salatuista merkkijonoista, joita seuraa moduulin koodi. Tutkijoiden havaitsemat moduulit sisältävät ydinmoduulin ja pysyvyysmoduulin.

Ydinmoduuli tukee kolmea komentoa: moduulien suorittaminen komento- ja ohjauspalvelimelta (C2) joko synkronisesti tai asynkronisesti; takaoven injektio toiseen DLL:ään; ja lepotilan päivityksen majakkapyyntöjen välillä.

Pysyvyysmoduulin tarkoituksena on mahdollistaa takaovi suorittaa itsensä tietyin väliajoin. Se tarjoaa myös vaihtoehtoisen kokoonpanon rekisterin pysyvyyden määrittämiseksi kohdekoneen toisessa paikassa.

Cybertacker's Evasive Tactics

Tutkijat sanoivat, että WineLoaderilla on useita toimintoja, joiden tarkoituksena on erityisesti välttää havaitseminen, mikä osoittaa SpikedWinen huomattavan hienostuneen tason. Se salaa ydinmoduulin ja seuraavat C2-palvelimelta ladatut moduulit, merkkijonot ja C2:sta lähetetyt ja vastaanotetut tiedot – kovakoodatulla 256-tavuisella RC4-avaimella.

Haittaohjelma myös purkaa joidenkin merkkijonojen salauksen käytön aikana, jotka sitten salataan uudelleen pian sen jälkeen, tutkijat sanoivat. Ja se sisältää muistipuskurit, jotka tallentavat API-kutsujen tulokset sekä korvaavat puretut merkkijonot nolilla käytön jälkeen.

Toinen huomionarvoinen näkökohta SpikedWinen toiminnassa on se, että näyttelijä käyttää vaarantunutta verkkoinfrastruktuuria hyökkäysketjun kaikissa vaiheissa. Erityisesti tutkijat tunnistivat kolme vaarantunutta verkkosivustoa, joita käytettiin välillisten hyötykuormien isännöintiin tai C2-palvelimina, he sanoivat.

Suojaus ja tunnistus (Kuinka välttää punaviinitahroja)

Zscaler ThreatLabz on ilmoittanut Intian National Informatics Centerin (NIC) yhteyshenkilöille Intian hallituksen teemojen väärinkäytöstä hyökkäyksessä.

Koska hyökkäyksessä käytetty C2-palvelin vastaa vain tietyntyyppisiin pyyntöihin tiettyinä aikoina, automaattiset analyysiratkaisut eivät voi hakea C2-vastauksia ja modulaarisia hyötykuormia havaitsemista ja analysointia varten, tutkijat sanoivat. Puolustajien auttamiseksi he lisäsivät blogikirjoitukseensa luettelon kompromissiindikaattoreista (IoC) ja hyökkäykseen liittyvistä URL-osoitteista.

Monikerroksinen pilvitietoturvaalusta pitäisi havaita WineLoaderiin liittyvät IoC:t eri tasoilla, kuten kaikki tiedostot, joiden uhkanimi on Win64.Downloader.WineLoader, tutkijat huomauttivat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers