साइबर हमलावर यूरोपीय संघ के राजनयिकों को वाइन-चखने की पेशकश का लालच देते हैं

यूरोपीय लोग बढ़िया वाइन का आनंद लेने के लिए जाने जाते हैं, यह एक सांस्कृतिक विशेषता है जिसका उपयोग हाल ही में एक धमकी अभियान के पीछे हमलावरों द्वारा उनके खिलाफ किया गया है। साइबर ऑपरेशन का उद्देश्य वितरित करना था उपन्यास पिछले दरवाजे यूरोपीय संघ (ईयू) के राजनयिकों को नकली वाइन-चखने वाले कार्यक्रम का लालच देकर।

ज़स्केलर के थ्रेटलैब्ज़ के शोधकर्ताओं ने उस अभियान की खोज की, जिसने विशेष रूप से भारतीय राजनयिक मिशनों वाले यूरोपीय संघ के देशों के अधिकारियों को लक्षित किया, उन्होंने लिखा एक ब्लॉग पोस्ट में 27 फरवरी को प्रकाशित। अभिनेता - जिसे उचित रूप से "स्पाइक्डवाइन" कहा जाता है - ने ईमेल में एक पीडीएफ फाइल का इस्तेमाल किया, जो कि भारत के राजदूत का निमंत्रण पत्र है, जिसमें 2 फरवरी को एक वाइन-चखने वाले कार्यक्रम में राजनयिकों को आमंत्रित किया गया था।

ज़स्कलर थ्रेटलैब्ज़ के शोधकर्ता सुदीप सिंह और रॉय ताई ने पोस्ट में लिखा, "हमारा मानना ​​है कि भारत और यूरोपीय देशों में राजनयिकों के बीच भूराजनीतिक संबंधों का फायदा उठाने में रुचि रखने वाले एक राष्ट्र-राज्य खतरा अभिनेता ने इस हमले को अंजाम दिया।"

अभियान का पेलोड है a पिछले दरवाजे शोधकर्ताओं ने इसे "वाइनलोडर" कहा है, जिसमें एक मॉड्यूलर डिज़ाइन है और पहचान से बचने के लिए विशेष रूप से तकनीकों का उपयोग करता है। शोधकर्ताओं ने कहा कि इनमें री-एन्क्रिप्शन और मेमोरी बफ़र्स को शून्य करना शामिल है, जो मेमोरी में संवेदनशील डेटा की सुरक्षा करने और मेमोरी फोरेंसिक समाधानों से बचने का काम करते हैं।

स्पाइकडवाइन ने हमले की श्रृंखला के कई चरणों में कमांड-एंड-कंट्रोल (सी2) के लिए समझौता की गई वेबसाइटों का उपयोग किया, जो तब शुरू होती है जब कोई पीड़ित पीडीएफ में एक लिंक पर क्लिक करता है और वाइनलोडर की मॉड्यूलर डिलीवरी के साथ समाप्त होता है। शोधकर्ताओं ने कहा कि कुल मिलाकर, साइबर हमलावरों ने सामाजिक रूप से इंजीनियर अभियान और मैलवेयर के रचनात्मक क्राफ्टिंग दोनों में उच्च स्तर का परिष्कार दिखाया।

स्पाइक्डवाइन कई साइबर हमले के चरणों को उजागर करता है

Zscaler ThreatLabz ने पीडीएफ फ़ाइल की खोज की - भारतीय राजदूत के निवास पर कथित वाइन-चखने का निमंत्रण - 30 जनवरी को लातविया से वायरसटोटल पर अपलोड किया गया। हमलावरों ने भारत के राजदूत का प्रतिरूपण करने के लिए सावधानीपूर्वक सामग्री तैयार की, और निमंत्रण में एक दुर्भावनापूर्ण लिंक शामिल है एक नकली प्रश्नावली में इस आधार पर कि भाग लेने के लिए इसे भरना होगा।

लिंक पर क्लिंकिंग - गलती से, क्लिक करना - उपयोगकर्ताओं को एक समझौता साइट पर रीडायरेक्ट करता है जो "वाइन.hta" नामक फ़ाइल वाले ज़िप संग्रह को डाउनलोड करने के लिए आगे बढ़ता है। डाउनलोड की गई फ़ाइल में अस्पष्ट जावास्क्रिप्ट कोड है जो हमले के अगले चरण को निष्पादित करता है।

अंततः, फ़ाइल पथ से sqlwriter.exe नामक फ़ाइल निष्पादित करती है: C:WindowsTasks vcruntime140.dll नामक एक दुर्भावनापूर्ण DLL को लोड करके वाइनलोडर बैकडोर संक्रमण श्रृंखला शुरू करने के लिए। यह बदले में एक निर्यातित फ़ंक्शन निष्पादित करता है set_se_translator, जो इसे निष्पादित करने से पहले हार्डकोडेड 256-बाइट आरसी 4 कुंजी का उपयोग करके डीएलएल के भीतर एम्बेडेड वाइनलोडर कोर मॉड्यूल को डिक्रिप्ट करता है।

वाइनलोडर: मॉड्यूलर, लगातार बैकडोर मैलवेयर

वाइनलोडर में कई मॉड्यूल होते हैं, जिनमें से प्रत्येक में कॉन्फ़िगरेशन डेटा, एक आरसी 4 कुंजी और एन्क्रिप्टेड स्ट्रिंग्स होते हैं, जिसके बाद मॉड्यूल कोड होता है। शोधकर्ताओं द्वारा देखे गए मॉड्यूल में एक कोर मॉड्यूल और एक दृढ़ता मॉड्यूल शामिल हैं।

कोर मॉड्यूल तीन कमांड का समर्थन करता है: कमांड-एंड-कंट्रोल सर्वर (C2) से मॉड्यूल का निष्पादन या तो सिंक्रोनस या एसिंक्रोनस रूप से; किसी अन्य DLL में पिछले दरवाजे का इंजेक्शन; और बीकन अनुरोधों के बीच नींद के अंतराल को अद्यतन करना।

दृढ़ता मॉड्यूल का उद्देश्य अनुमति देना है पीछे का दरवाजा निश्चित अंतराल पर स्वयं को क्रियान्वित करना। यह लक्षित मशीन पर किसी अन्य स्थान पर रजिस्ट्री दृढ़ता स्थापित करने के लिए एक वैकल्पिक कॉन्फ़िगरेशन भी प्रदान करता है।

साइबरटैकर की टालमटोल की रणनीति

शोधकर्ताओं ने कहा कि वाइनलोडर में विशेष रूप से पहचान से बचने के उद्देश्य से कई कार्य हैं, जो स्पाइकडवाइन द्वारा परिष्कार के एक उल्लेखनीय स्तर को प्रदर्शित करते हैं। यह C2 सर्वर से डाउनलोड किए गए कोर मॉड्यूल और उसके बाद के मॉड्यूल, स्ट्रिंग्स और C2 से भेजे और प्राप्त किए गए डेटा को हार्डकोडेड 256-बाइट RC4 कुंजी के साथ एन्क्रिप्ट करता है।

शोधकर्ताओं ने कहा कि मैलवेयर उपयोग के दौरान कुछ स्ट्रिंग्स को भी डिक्रिप्ट कर देता है जिन्हें कुछ ही समय बाद फिर से एन्क्रिप्ट किया जाता है। और इसमें मेमोरी बफ़र्स शामिल हैं जो एपीआई कॉल से परिणाम संग्रहीत करते हैं, साथ ही उपयोग के बाद डिक्रिप्टेड स्ट्रिंग्स को शून्य से बदल देते हैं।

स्पाइक्डवाइन कैसे संचालित होता है इसका एक और उल्लेखनीय पहलू यह है कि अभिनेता हमले की श्रृंखला के सभी चरणों में समझौता किए गए नेटवर्क बुनियादी ढांचे का उपयोग करता है। विशेष रूप से, शोधकर्ताओं ने मध्यवर्ती पेलोड या सी 2 सर्वर की मेजबानी के लिए उपयोग की जाने वाली तीन समझौता वेबसाइटों की पहचान की, उन्होंने कहा।

सुरक्षा एवं जांच (रेड वाइन के दाग से कैसे बचें)

Zscaler ThreatLabz ने हमले में भारत सरकार के विषयों के दुरुपयोग के बारे में भारत में राष्ट्रीय सूचना विज्ञान केंद्र (NIC) में संपर्कों को सूचित किया है।

जैसा कि हमले में उपयोग किया गया C2 सर्वर निश्चित समय पर केवल विशिष्ट प्रकार के अनुरोधों का जवाब देता है, स्वचालित विश्लेषण समाधान पता लगाने और विश्लेषण के लिए C2 प्रतिक्रियाओं और मॉड्यूलर पेलोड को पुनः प्राप्त नहीं कर सकते हैं, शोधकर्ताओं ने कहा। रक्षकों की मदद के लिए, उन्होंने अपने ब्लॉग पोस्ट में हमले से जुड़े समझौता संकेतकों (आईओसी) और यूआरएल की एक सूची शामिल की।

एक बहुस्तरीय क्लाउड सुरक्षा मंच शोधकर्ताओं ने नोट किया कि विभिन्न स्तरों पर वाइनलोडर से संबंधित आईओसी का पता लगाना चाहिए, जैसे खतरे के नाम वाली कोई भी फाइल, Win64.Downloader.WineLoader।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers