Les Européens sont connus pour apprécier le bon vin, une caractéristique culturelle qui a été utilisée contre eux par les attaquants à l'origine d'une récente campagne de menace. La cyberopération visait à livrer un roman porte dérobée en attirant les diplomates de l’Union européenne (UE) avec une fausse dégustation de vins.
Les chercheurs du ThreatLabz de Zscaler ont découvert la campagne, qui ciblait spécifiquement les responsables des pays de l'UE ayant des missions diplomatiques indiennes, ont-ils écrit. dans un billet de blog publié le 27 février. L'acteur – surnommé à juste titre « SpikedWine » – a utilisé un fichier PDF dans des courriels prétendant être une lettre d'invitation de l'ambassadeur de l'Inde, invitant des diplomates à une dégustation de vin le 2 février.
"Nous pensons qu'un acteur menaçant d'un État-nation, intéressé à exploiter les relations géopolitiques entre l'Inde et les diplomates des pays européens, a mené cette attaque", ont écrit Sudeep Singh et Roy Tay, chercheurs de Zscaler ThreatLabz, dans l'article.
La charge utile de la campagne est un détourné que les chercheurs ont appelé « WineLoader », qui a une conception modulaire et utilise des techniques spécifiquement pour échapper à la détection. Ceux-ci incluent le recryptage et la remise à zéro des tampons mémoire, qui servent à protéger les données sensibles en mémoire et à échapper aux solutions d'investigation de la mémoire, ont noté les chercheurs.
SpikedWine a utilisé des sites Web compromis pour le commandement et le contrôle (C2) à plusieurs étapes de la chaîne d'attaque, qui commence lorsqu'une victime clique sur un lien dans le PDF et se termine avec la livraison modulaire de WineLoader. Dans l’ensemble, les cyberattaquants ont fait preuve d’un haut niveau de sophistication, tant dans la conception créative de la campagne d’ingénierie sociale que dans celle du malware, ont indiqué les chercheurs.
SpikedWine débouche plusieurs phases de cyberattaque
Zscaler ThreatLabz a découvert le fichier PDF – l'invitation à une prétendue dégustation de vin à la résidence de l'ambassadeur indien – téléchargé sur VirusTotal depuis la Lettonie le 30 janvier. Les attaquants ont soigneusement conçu le contenu pour se faire passer pour l'ambassadeur indien, et l'invitation comprend un lien malveillant. à un faux questionnaire en partant du principe qu'il faut le remplir pour pouvoir participer.
Clinker – euh, cliquer – sur le lien redirige les utilisateurs vers un site compromis qui procède au téléchargement d'une archive zip contenant un fichier appelé « wine.hta ». Le fichier téléchargé contient du code JavaScript obscurci qui exécute l'étape suivante de l'attaque.
Finalement, le fichier exécute un fichier nommé sqlwriter.exe à partir du chemin : C:WindowsTasks pour démarrer la chaîne d'infection par porte dérobée WineLoader en chargeant une DLL malveillante nommée vcruntime140.dll. Ceci exécute à son tour une fonction exportée set_se_translator, qui déchiffre le module principal WineLoader intégré dans la DLL à l'aide d'une clé RC256 de 4 octets codée en dur avant de l'exécuter.
WineLoader : logiciel malveillant de porte dérobée modulaire et persistant
WineLoader comporte plusieurs modules, chacun étant constitué de données de configuration, d'une clé RC4 et de chaînes cryptées, suivies du code du module. Les modules observés par les chercheurs comprennent un module de base et un module de persistance.
Le module principal prend en charge trois commandes : l'exécution de modules à partir du serveur de commande et de contrôle (C2) de manière synchrone ou asynchrone ; l'injection de la porte dérobée dans une autre DLL ; et la mise à jour de l'intervalle de sommeil entre les requêtes de balise.
Le module de persistance a pour but de permettre la porte de derrière pour s'exécuter à certains intervalles. Il propose également une configuration alternative pour établir la persistance du registre à un autre emplacement sur une machine ciblée.
Tactiques d'évasion des cyberattaquants
WineLoader possède un certain nombre de fonctions spécifiquement destinées à échapper à la détection, démontrant un niveau de sophistication notable de SpikedWine, ont indiqué les chercheurs. Il crypte le module principal et les modules suivants téléchargés depuis le serveur C2, les chaînes et les données envoyées et reçues depuis C2 — avec une clé RC256 de 4 octets codée en dur.
Le malware décrypte également certaines chaînes lors de son utilisation qui sont ensuite rechiffrées peu de temps après, ont indiqué les chercheurs. Et il comprend des tampons de mémoire qui stockent les résultats des appels d'API et remplacent les chaînes déchiffrées par des zéros après utilisation.
Un autre aspect notable du fonctionnement de SpikedWine est que l’acteur utilise une infrastructure réseau compromise à toutes les étapes de la chaîne d’attaque. Plus précisément, les chercheurs ont identifié trois sites Web compromis utilisés pour héberger des charges utiles intermédiaires ou comme serveurs C2, ont-ils indiqué.
Protection et détection (Comment éviter les taches de vin rouge)
Zscaler ThreatLabz a informé les contacts du Centre national d'informatique (NIC) en Inde de l'abus des thèmes du gouvernement indien lors de l'attaque.
Comme le serveur C2 utilisé dans l'attaque ne répond qu'à des types spécifiques de requêtes à certains moments, les solutions d'analyse automatisées ne peuvent pas récupérer les réponses C2 et les charges utiles modulaires à des fins de détection et d'analyse, ont indiqué les chercheurs. Pour aider les défenseurs, ils ont inclus une liste d'indicateurs de compromission (IoC) et d'URL associés à l'attaque dans leur article de blog.
Un multicouche plate-forme de sécurité cloud devrait détecter les IoC liés à WineLoader à différents niveaux, tels que tout fichier portant le nom de menace Win64.Downloader.WineLoader, ont noté les chercheurs.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :possède
- :est
- 27
- 30
- 7
- a
- Qui sommes-nous
- abus
- Après
- à opposer à
- Destinée
- Tous
- Permettre
- aussi
- alternative
- Ambassadeur
- an
- selon une analyse de l’Université de Princeton
- ainsi que le
- Une autre
- tous
- api
- de manière appropriée
- Archive
- SONT
- AS
- d'aspect
- associé
- At
- attaquer
- Automatisation
- éviter
- détourné
- BE
- pour
- était
- before
- derrière
- CROYONS
- jusqu'à XNUMX fois
- Blog
- tous les deux
- by
- appelé
- Appels
- Campagne
- ne peut pas
- prudemment
- réalisée
- Canaux centraux
- certaines
- chaîne
- caractéristique
- code
- compromis
- Compromise
- configuration
- consiste
- Contacts
- contient
- contenu
- Core
- d'exportation
- Fabriqué
- Conception
- à la diversité
- cyber
- Cyber-attaque
- données
- défenseurs
- livrer
- page de livraison.
- démontrer
- Conception
- détecter
- Détection
- diplomates
- découvert
- download
- doublé
- chacun
- non plus
- emails
- intégré
- emploie
- crypté
- se termine
- conçu
- jouir
- établir
- EU
- du
- Union européenne
- Union européenne (UE)
- éluder
- événement
- exécuter
- Exécute
- exécution
- exécution
- exploitant
- faux
- Février
- Déposez votre dernière attestation
- Fichiers
- rempli
- fin
- suivi
- Pour
- forensics
- de
- fonction
- fonctions
- géopolitique
- Gouvernement
- Garde
- Vous avez
- vous aider
- Haute
- hébergement
- Comment
- How To
- HTTPS
- identifié
- imiter
- in
- comprendre
- inclus
- inclut
- Inde
- Indian
- gouvernement indien
- Indicateurs
- Infrastructure
- intéressé
- développement
- invitation
- nous invitons les riders XCO et DH à rouler sur nos pistes haute performance, et leurs supporters à profiter du spectacle. Pour le XNUMXe anniversaire, nous visons GRAND ! Vous allez vouloir être là ! Nous accueillerons la légendaire traversée de l'étant avec de la musique en direct ! Nous aurons également des divertissements pour les jeunes et les jeunes de cœur pendant l'après-midi. Vous ne voudrez pas manquer ça !
- attrayant
- IT
- lui-même
- Janvier
- JavaScript
- ACTIVITES
- connu
- LETTONIE
- lettre
- Niveau
- niveaux
- LINK
- Liste
- chargement
- emplacement
- click
- malveillant
- malware
- Mémoire
- missions
- application
- Module
- Modules
- Multicouche
- plusieurs
- must
- prénom
- Nommé
- Nationales
- Nations
- réseau et
- next
- notable
- noté
- nombre
- of
- Offres Speciales
- fonctionnaires
- on
- uniquement
- exploite
- opération
- or
- de commander
- ande
- global
- participer
- chemin
- persistance
- phases
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Post
- produit
- protection
- publié
- reçu
- récent
- Rouge
- enregistrement
- en relation
- rapports
- demandes
- chercheurs
- Résidence
- réponses
- Résultats
- roy
- s
- Saïd
- sécurité
- sensible
- envoyé
- besoin
- serveur
- Serveurs
- plusieurs
- Peu de temps
- devrait
- montré
- site
- sleep
- socialement
- Solutions
- quelques
- sophistication
- groupe de neurones
- spécifiquement
- Sponsorisé
- Étape
- étapes
- Commencer
- départs
- Boutique
- ultérieur
- tel
- Les soutiens
- tactique
- des campagnes marketing ciblées,
- tay
- techniques
- qui
- Les
- leur
- Les
- thèmes
- puis
- l'ont
- this
- ceux
- menace
- trois
- fois
- à
- TOUR
- types
- sous
- union
- la mise à jour
- téléchargé
- utilisé
- d'utiliser
- utilisateurs
- Usages
- en utilisant
- divers
- Victime
- we
- sites Internet
- WELL
- quand
- qui
- VIN
- comprenant
- dans les
- écrit
- zéphyrnet
- Zip
