A számítógépes támadók borkóstoló ajánlatokkal csábítják az EU diplomatákat

Az európaiak köztudottan élvezik a finom bort, ezt a kulturális jellegzetességet a támadók ellenük használták fel egy közelmúltbeli fenyegetési kampány mögött. A kiberakció célja az volt, hogy a regényes hátsó ajtó azzal, hogy az Európai Unió (EU) diplomatáit álborkóstolóval csábították.

A Zscaler's ThreatLabz kutatói fedezték fel a kampányt, amely kifejezetten az EU-országok indiai diplomáciai képviselettel rendelkező tisztviselőit célozta meg. Egy blogbejegyzésben február 27. A színész – megfelelően „SpikedWine” néven – egy PDF-fájlt használt az e-mailekben, amelyek állítólag India nagykövetének meghívólevele, diplomatákat hívott meg egy február 2-i borkóstolóre.

"Úgy gondoljuk, hogy egy nemzetállami fenyegetettség szereplője, aki érdekelt India és az európai nemzetek diplomatái közötti geopolitikai kapcsolatok kiaknázásában, hajtotta végre ezt a támadást" - írták a Zscaler ThreatLabz kutatói, Sudeep Singh és Roy Tay.

A kampány hasznos terhelése a hátsó ajtó amelyet a kutatók „WineLoader”-nek hívtak, amely moduláris felépítésű, és kifejezetten az észlelés elkerülésére alkalmaz technikákat. Ezek közé tartozik az újratitkosítás és a memóriapufferek nullázása, amelyek az érzékeny adatok védelmére szolgálnak a memóriában, és elkerülik a memória-kriminalisztikai megoldásokat – jegyezték meg a kutatók.

A SpikedWine feltört webhelyeket használt a parancs- és vezérlésre (C2) a támadási lánc több szakaszában, amely akkor kezdődik, amikor az áldozat rákattint egy hivatkozásra a PDF-ben, és a WineLoader moduláris kézbesítésével ér véget. Összességében elmondható, hogy a kibertámadások magas szintű kifinomultságot mutattak mind a társadalmilag megtervezett kampány, mind a rosszindulatú programok kreatív kidolgozása terén, mondták a kutatók.

A SpikedWine több kibertámadási fázist bont ki

A Zscaler ThreatLabz január 30-án fedezte fel a Lettországból a VirusTotalra feltöltött PDF-fájlt – az indiai nagykövet rezidenciáján tartott borkóstolóra szóló meghívást. egy hamis kérdőívre azzal a feltevéssel, hogy a részvételhez ki kell tölteni.

A linkre kattintás – hiú, kattintás – átirányítja a felhasználókat egy feltört webhelyre, amely egy „wine.hta” nevű fájlt tartalmazó zip-archívumot tölt le. A letöltött fájl homályos JavaScript-kódot tartalmaz, amely végrehajtja a támadás következő szakaszát.

Végül a fájl végrehajt egy sqlwriter.exe nevű fájlt a C:WindowsTasks elérési útról, hogy elindítsa a WineLoader hátsó ajtó fertőzési láncát egy vcruntime140.dll nevű rosszindulatú DLL betöltésével. Ez viszont egy exportált függvényt hajt végre set_se_translator, amely visszafejti a beágyazott WineLoader magmodult a DLL-ben egy merevkódolt 256 bájtos RC4 kulccsal a végrehajtás előtt.

WineLoader: Moduláris, Persistent Backdoor Malware

A WineLoader több modullal rendelkezik, amelyek mindegyike konfigurációs adatokból, egy RC4 kulcsból és titkosított karakterláncokból áll, amelyeket a modul kódja követ. A kutatók által megfigyelt modulok között szerepel egy alapmodul és egy perzisztencia modul.

Az alapmodul három parancsot támogat: a modulok végrehajtása a parancs- és vezérlőszerverről (C2) akár szinkron, akár aszinkron módon; a hátsó ajtó befecskendezése egy másik DLL-be; és a beacon kérések közötti alvási intervallum frissítése.

A perzisztencia modul célja, hogy lehetővé tegye a hátsó ajtót hogy bizonyos időközönként végrehajtsa magát. Alternatív konfigurációt is kínál a rendszerleíró adatbázis perzisztenciájának létrehozására egy másik helyen a megcélzott gépen.

Cybertacker's Evasive Tactics

A kutatók szerint a WineLoader számos olyan funkcióval rendelkezik, amelyek kifejezetten az észlelés elkerülésére irányulnak, ami a SpikedWine jelentős kifinomultságát mutatja. Titkosítja az alapmodult és a C2 szerverről letöltött további modulokat, a karakterláncokat, valamint a C2-ről küldött és fogadott adatokat – egy merevkódolt 256 bájtos RC4 kulccsal.

A rosszindulatú program használat közben néhány karakterláncot is visszafejt, amelyeket röviddel ezután újra titkosít – mondták a kutatók. És tartalmaz olyan memóriapuffereket, amelyek tárolják az API-hívások eredményeit, valamint a visszafejtett karakterláncokat használat után nullákra cserélik.

Egy másik figyelemre méltó szempont a SpikedWine működésében, hogy a színész a támadási lánc minden szakaszában veszélyeztetett hálózati infrastruktúrát használ. A kutatók konkrétan három feltört webhelyet azonosítottak, amelyeket közbenső terhelések tárolására vagy C2-szerverként használnak.

Védelem és észlelés (Hogyan lehet elkerülni a vörösbor foltokat)

A Zscaler ThreatLabz értesítette az indiai Nemzeti Informatikai Központ (NIC) kapcsolattartóit az indiai kormány témáival való visszaélésről a támadásban.

Mivel a támadásban használt C2-szerver bizonyos időpontokban csak meghatározott típusú kérésekre válaszol, az automatizált elemzési megoldások nem tudják lekérni a C2-válaszokat és a moduláris rakományokat észlelés és elemzés céljából - mondták a kutatók. A védők segítése érdekében blogbejegyzésükbe belefoglalták a kompromisszumjelzők (IoC) és a támadáshoz kapcsolódó URL-ek listáját.

Egy többrétegű felhő biztonsági platform A kutatók megjegyezték, hogy a WineLoaderhez kapcsolódó IoC-ket különböző szinteken kell észlelnie, például a Win64.Downloader.WineLoader fenyegetésnévvel rendelkező fájlokat.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers