यूरोपीय लोग बढ़िया वाइन का आनंद लेने के लिए जाने जाते हैं, यह एक सांस्कृतिक विशेषता है जिसका उपयोग हाल ही में एक धमकी अभियान के पीछे हमलावरों द्वारा उनके खिलाफ किया गया है। साइबर ऑपरेशन का उद्देश्य वितरित करना था उपन्यास पिछले दरवाजे यूरोपीय संघ (ईयू) के राजनयिकों को नकली वाइन-चखने वाले कार्यक्रम का लालच देकर।
ज़स्केलर के थ्रेटलैब्ज़ के शोधकर्ताओं ने उस अभियान की खोज की, जिसने विशेष रूप से भारतीय राजनयिक मिशनों वाले यूरोपीय संघ के देशों के अधिकारियों को लक्षित किया, उन्होंने लिखा एक ब्लॉग पोस्ट में 27 फरवरी को प्रकाशित। अभिनेता - जिसे उचित रूप से "स्पाइक्डवाइन" कहा जाता है - ने ईमेल में एक पीडीएफ फाइल का इस्तेमाल किया, जो कि भारत के राजदूत का निमंत्रण पत्र है, जिसमें 2 फरवरी को एक वाइन-चखने वाले कार्यक्रम में राजनयिकों को आमंत्रित किया गया था।
ज़स्कलर थ्रेटलैब्ज़ के शोधकर्ता सुदीप सिंह और रॉय ताई ने पोस्ट में लिखा, "हमारा मानना है कि भारत और यूरोपीय देशों में राजनयिकों के बीच भूराजनीतिक संबंधों का फायदा उठाने में रुचि रखने वाले एक राष्ट्र-राज्य खतरा अभिनेता ने इस हमले को अंजाम दिया।"
अभियान का पेलोड है a पिछले दरवाजे शोधकर्ताओं ने इसे "वाइनलोडर" कहा है, जिसमें एक मॉड्यूलर डिज़ाइन है और पहचान से बचने के लिए विशेष रूप से तकनीकों का उपयोग करता है। शोधकर्ताओं ने कहा कि इनमें री-एन्क्रिप्शन और मेमोरी बफ़र्स को शून्य करना शामिल है, जो मेमोरी में संवेदनशील डेटा की सुरक्षा करने और मेमोरी फोरेंसिक समाधानों से बचने का काम करते हैं।
स्पाइकडवाइन ने हमले की श्रृंखला के कई चरणों में कमांड-एंड-कंट्रोल (सी2) के लिए समझौता की गई वेबसाइटों का उपयोग किया, जो तब शुरू होती है जब कोई पीड़ित पीडीएफ में एक लिंक पर क्लिक करता है और वाइनलोडर की मॉड्यूलर डिलीवरी के साथ समाप्त होता है। शोधकर्ताओं ने कहा कि कुल मिलाकर, साइबर हमलावरों ने सामाजिक रूप से इंजीनियर अभियान और मैलवेयर के रचनात्मक क्राफ्टिंग दोनों में उच्च स्तर का परिष्कार दिखाया।
स्पाइक्डवाइन कई साइबर हमले के चरणों को उजागर करता है
Zscaler ThreatLabz ने पीडीएफ फ़ाइल की खोज की - भारतीय राजदूत के निवास पर कथित वाइन-चखने का निमंत्रण - 30 जनवरी को लातविया से वायरसटोटल पर अपलोड किया गया। हमलावरों ने भारत के राजदूत का प्रतिरूपण करने के लिए सावधानीपूर्वक सामग्री तैयार की, और निमंत्रण में एक दुर्भावनापूर्ण लिंक शामिल है एक नकली प्रश्नावली में इस आधार पर कि भाग लेने के लिए इसे भरना होगा।
लिंक पर क्लिंकिंग - गलती से, क्लिक करना - उपयोगकर्ताओं को एक समझौता साइट पर रीडायरेक्ट करता है जो "वाइन.hta" नामक फ़ाइल वाले ज़िप संग्रह को डाउनलोड करने के लिए आगे बढ़ता है। डाउनलोड की गई फ़ाइल में अस्पष्ट जावास्क्रिप्ट कोड है जो हमले के अगले चरण को निष्पादित करता है।
अंततः, फ़ाइल पथ से sqlwriter.exe नामक फ़ाइल निष्पादित करती है: C:WindowsTasks vcruntime140.dll नामक एक दुर्भावनापूर्ण DLL को लोड करके वाइनलोडर बैकडोर संक्रमण श्रृंखला शुरू करने के लिए। यह बदले में एक निर्यातित फ़ंक्शन निष्पादित करता है set_se_translator, जो इसे निष्पादित करने से पहले हार्डकोडेड 256-बाइट आरसी 4 कुंजी का उपयोग करके डीएलएल के भीतर एम्बेडेड वाइनलोडर कोर मॉड्यूल को डिक्रिप्ट करता है।
वाइनलोडर: मॉड्यूलर, लगातार बैकडोर मैलवेयर
वाइनलोडर में कई मॉड्यूल होते हैं, जिनमें से प्रत्येक में कॉन्फ़िगरेशन डेटा, एक आरसी 4 कुंजी और एन्क्रिप्टेड स्ट्रिंग्स होते हैं, जिसके बाद मॉड्यूल कोड होता है। शोधकर्ताओं द्वारा देखे गए मॉड्यूल में एक कोर मॉड्यूल और एक दृढ़ता मॉड्यूल शामिल हैं।
कोर मॉड्यूल तीन कमांड का समर्थन करता है: कमांड-एंड-कंट्रोल सर्वर (C2) से मॉड्यूल का निष्पादन या तो सिंक्रोनस या एसिंक्रोनस रूप से; किसी अन्य DLL में पिछले दरवाजे का इंजेक्शन; और बीकन अनुरोधों के बीच नींद के अंतराल को अद्यतन करना।
दृढ़ता मॉड्यूल का उद्देश्य अनुमति देना है पीछे का दरवाजा निश्चित अंतराल पर स्वयं को क्रियान्वित करना। यह लक्षित मशीन पर किसी अन्य स्थान पर रजिस्ट्री दृढ़ता स्थापित करने के लिए एक वैकल्पिक कॉन्फ़िगरेशन भी प्रदान करता है।
साइबरटैकर की टालमटोल की रणनीति
शोधकर्ताओं ने कहा कि वाइनलोडर में विशेष रूप से पहचान से बचने के उद्देश्य से कई कार्य हैं, जो स्पाइकडवाइन द्वारा परिष्कार के एक उल्लेखनीय स्तर को प्रदर्शित करते हैं। यह C2 सर्वर से डाउनलोड किए गए कोर मॉड्यूल और उसके बाद के मॉड्यूल, स्ट्रिंग्स और C2 से भेजे और प्राप्त किए गए डेटा को हार्डकोडेड 256-बाइट RC4 कुंजी के साथ एन्क्रिप्ट करता है।
शोधकर्ताओं ने कहा कि मैलवेयर उपयोग के दौरान कुछ स्ट्रिंग्स को भी डिक्रिप्ट कर देता है जिन्हें कुछ ही समय बाद फिर से एन्क्रिप्ट किया जाता है। और इसमें मेमोरी बफ़र्स शामिल हैं जो एपीआई कॉल से परिणाम संग्रहीत करते हैं, साथ ही उपयोग के बाद डिक्रिप्टेड स्ट्रिंग्स को शून्य से बदल देते हैं।
स्पाइक्डवाइन कैसे संचालित होता है इसका एक और उल्लेखनीय पहलू यह है कि अभिनेता हमले की श्रृंखला के सभी चरणों में समझौता किए गए नेटवर्क बुनियादी ढांचे का उपयोग करता है। विशेष रूप से, शोधकर्ताओं ने मध्यवर्ती पेलोड या सी 2 सर्वर की मेजबानी के लिए उपयोग की जाने वाली तीन समझौता वेबसाइटों की पहचान की, उन्होंने कहा।
सुरक्षा एवं जांच (रेड वाइन के दाग से कैसे बचें)
Zscaler ThreatLabz ने हमले में भारत सरकार के विषयों के दुरुपयोग के बारे में भारत में राष्ट्रीय सूचना विज्ञान केंद्र (NIC) में संपर्कों को सूचित किया है।
जैसा कि हमले में उपयोग किया गया C2 सर्वर निश्चित समय पर केवल विशिष्ट प्रकार के अनुरोधों का जवाब देता है, स्वचालित विश्लेषण समाधान पता लगाने और विश्लेषण के लिए C2 प्रतिक्रियाओं और मॉड्यूलर पेलोड को पुनः प्राप्त नहीं कर सकते हैं, शोधकर्ताओं ने कहा। रक्षकों की मदद के लिए, उन्होंने अपने ब्लॉग पोस्ट में हमले से जुड़े समझौता संकेतकों (आईओसी) और यूआरएल की एक सूची शामिल की।
एक बहुस्तरीय क्लाउड सुरक्षा मंच शोधकर्ताओं ने नोट किया कि विभिन्न स्तरों पर वाइनलोडर से संबंधित आईओसी का पता लगाना चाहिए, जैसे खतरे के नाम वाली कोई भी फाइल, Win64.Downloader.WineLoader।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :हैस
- :है
- 27
- 30
- 7
- a
- About
- गाली
- बाद
- के खिलाफ
- उद्देश्य से
- सब
- की अनुमति दे
- भी
- वैकल्पिक
- राजदूत
- an
- विश्लेषण
- और
- अन्य
- कोई
- एपीआई
- उचित रूप से
- पुरालेख
- हैं
- AS
- पहलू
- जुड़े
- At
- आक्रमण
- स्वचालित
- से बचने
- पिछले दरवाजे
- BE
- प्रकाश
- किया गया
- से पहले
- पीछे
- मानना
- के बीच
- ब्लॉग
- के छात्रों
- by
- बुलाया
- कॉल
- अभियान
- नही सकता
- सावधानी से
- किया
- केंद्र
- कुछ
- श्रृंखला
- विशेषता
- कोड
- समझौता
- छेड़छाड़ की गई
- विन्यास
- होते हैं
- संपर्कों
- शामिल हैं
- अंतर्वस्तु
- मूल
- देशों
- तैयार
- क्रिएटिव
- सांस्कृतिक
- साइबर
- साइबर हमला
- तिथि
- प्रतिरक्षक
- उद्धार
- प्रसव
- प्रदर्शन
- डिज़ाइन
- पता लगाना
- खोज
- राजनयिकों
- की खोज
- डाउनलोड
- करार दिया
- से प्रत्येक
- भी
- ईमेल
- एम्बेडेड
- रोजगार
- एन्क्रिप्टेड
- समाप्त होता है
- इंजीनियर
- का आनंद
- स्थापित करना
- EU
- यूरोपीय
- यूरोपीय संघ
- यूरोपीय संघ (ईयू)
- बचना
- कार्यक्रम
- निष्पादित
- निष्पादित करता है
- को क्रियान्वित
- निष्पादन
- शोषण
- उल्लू बनाना
- फ़रवरी
- पट्टिका
- फ़ाइलें
- भरा हुआ
- अंत
- पीछा किया
- के लिए
- फोरेंसिक
- से
- समारोह
- कार्यों
- भू राजनीतिक
- सरकार
- गार्ड
- है
- मदद
- हाई
- होस्टिंग
- कैसे
- How To
- HTTPS
- पहचान
- अभिनय करना
- in
- शामिल
- शामिल
- शामिल
- इंडिया
- भारतीय
- भारतीय सरकार
- संकेतक
- इंफ्रास्ट्रक्चर
- रुचि
- में
- निमंत्रण
- आमंत्रित करना
- आमंत्रित
- IT
- खुद
- जॉन
- जावास्क्रिप्ट
- कुंजी
- जानने वाला
- लातविया
- पत्र
- स्तर
- स्तर
- LINK
- सूची
- लोड हो रहा है
- स्थान
- मशीन
- दुर्भावनापूर्ण
- मैलवेयर
- याद
- मिशन
- मॉड्यूलर
- मॉड्यूल
- मॉड्यूल
- बहुपरती
- विभिन्न
- चाहिए
- नाम
- नामांकित
- राष्ट्रीय
- राष्ट्र
- नेटवर्क
- अगला
- प्रसिद्ध
- विख्यात
- संख्या
- of
- ऑफर
- अधिकारी
- on
- केवल
- संचालित
- आपरेशन
- or
- आदेश
- आउट
- कुल
- भाग लेना
- पथ
- पीडीएफ
- हठ
- चरणों
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- पद
- प्राप्ति
- सुरक्षा
- प्रकाशित
- प्राप्त
- हाल
- लाल
- रजिस्ट्री
- सम्बंधित
- संबंधों
- अनुरोधों
- शोधकर्ताओं
- निवास
- प्रतिक्रियाएं
- परिणाम
- रॉय
- s
- कहा
- सुरक्षा
- संवेदनशील
- भेजा
- सेवा
- सर्वर
- सर्वर
- कई
- कुछ ही समय
- चाहिए
- पता चला
- साइट
- नींद
- सामाजिक रूप से
- समाधान ढूंढे
- कुछ
- मिलावट
- विशिष्ट
- विशेष रूप से
- प्रायोजित
- ट्रेनिंग
- चरणों
- प्रारंभ
- शुरू होता है
- की दुकान
- आगामी
- ऐसा
- समर्थन करता है
- युक्ति
- लक्षित
- तय
- तकनीक
- कि
- RSI
- लेकिन हाल ही
- उन
- विषयों
- फिर
- वे
- इसका
- उन
- धमकी
- तीन
- बार
- सेवा मेरे
- मोड़
- प्रकार
- के अंतर्गत
- संघ
- अद्यतन
- अपलोड की गई
- उपयोग
- प्रयुक्त
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- विभिन्न
- शिकार
- we
- वेबसाइटों
- कुंआ
- कब
- कौन कौन से
- वाइन
- साथ में
- अंदर
- लिखा था
- जेफिरनेट
- ज़िप