Az európaiak köztudottan élvezik a finom bort, ezt a kulturális jellegzetességet a támadók ellenük használták fel egy közelmúltbeli fenyegetési kampány mögött. A kiberakció célja az volt, hogy a regényes hátsó ajtó azzal, hogy az Európai Unió (EU) diplomatáit álborkóstolóval csábították.
A Zscaler's ThreatLabz kutatói fedezték fel a kampányt, amely kifejezetten az EU-országok indiai diplomáciai képviselettel rendelkező tisztviselőit célozta meg. Egy blogbejegyzésben február 27. A színész – megfelelően „SpikedWine” néven – egy PDF-fájlt használt az e-mailekben, amelyek állítólag India nagykövetének meghívólevele, diplomatákat hívott meg egy február 2-i borkóstolóre.
"Úgy gondoljuk, hogy egy nemzetállami fenyegetettség szereplője, aki érdekelt India és az európai nemzetek diplomatái közötti geopolitikai kapcsolatok kiaknázásában, hajtotta végre ezt a támadást" - írták a Zscaler ThreatLabz kutatói, Sudeep Singh és Roy Tay.
A kampány hasznos terhelése a hátsó ajtó amelyet a kutatók „WineLoader”-nek hívtak, amely moduláris felépítésű, és kifejezetten az észlelés elkerülésére alkalmaz technikákat. Ezek közé tartozik az újratitkosítás és a memóriapufferek nullázása, amelyek az érzékeny adatok védelmére szolgálnak a memóriában, és elkerülik a memória-kriminalisztikai megoldásokat – jegyezték meg a kutatók.
A SpikedWine feltört webhelyeket használt a parancs- és vezérlésre (C2) a támadási lánc több szakaszában, amely akkor kezdődik, amikor az áldozat rákattint egy hivatkozásra a PDF-ben, és a WineLoader moduláris kézbesítésével ér véget. Összességében elmondható, hogy a kibertámadások magas szintű kifinomultságot mutattak mind a társadalmilag megtervezett kampány, mind a rosszindulatú programok kreatív kidolgozása terén, mondták a kutatók.
A SpikedWine több kibertámadási fázist bont ki
A Zscaler ThreatLabz január 30-án fedezte fel a Lettországból a VirusTotalra feltöltött PDF-fájlt – az indiai nagykövet rezidenciáján tartott borkóstolóra szóló meghívást. egy hamis kérdőívre azzal a feltevéssel, hogy a részvételhez ki kell tölteni.
A linkre kattintás – hiú, kattintás – átirányítja a felhasználókat egy feltört webhelyre, amely egy „wine.hta” nevű fájlt tartalmazó zip-archívumot tölt le. A letöltött fájl homályos JavaScript-kódot tartalmaz, amely végrehajtja a támadás következő szakaszát.
Végül a fájl végrehajt egy sqlwriter.exe nevű fájlt a C:WindowsTasks elérési útról, hogy elindítsa a WineLoader hátsó ajtó fertőzési láncát egy vcruntime140.dll nevű rosszindulatú DLL betöltésével. Ez viszont egy exportált függvényt hajt végre set_se_translator, amely visszafejti a beágyazott WineLoader magmodult a DLL-ben egy merevkódolt 256 bájtos RC4 kulccsal a végrehajtás előtt.
WineLoader: Moduláris, Persistent Backdoor Malware
A WineLoader több modullal rendelkezik, amelyek mindegyike konfigurációs adatokból, egy RC4 kulcsból és titkosított karakterláncokból áll, amelyeket a modul kódja követ. A kutatók által megfigyelt modulok között szerepel egy alapmodul és egy perzisztencia modul.
Az alapmodul három parancsot támogat: a modulok végrehajtása a parancs- és vezérlőszerverről (C2) akár szinkron, akár aszinkron módon; a hátsó ajtó befecskendezése egy másik DLL-be; és a beacon kérések közötti alvási intervallum frissítése.
A perzisztencia modul célja, hogy lehetővé tegye a hátsó ajtót hogy bizonyos időközönként végrehajtsa magát. Alternatív konfigurációt is kínál a rendszerleíró adatbázis perzisztenciájának létrehozására egy másik helyen a megcélzott gépen.
Cybertacker's Evasive Tactics
A kutatók szerint a WineLoader számos olyan funkcióval rendelkezik, amelyek kifejezetten az észlelés elkerülésére irányulnak, ami a SpikedWine jelentős kifinomultságát mutatja. Titkosítja az alapmodult és a C2 szerverről letöltött további modulokat, a karakterláncokat, valamint a C2-ről küldött és fogadott adatokat – egy merevkódolt 256 bájtos RC4 kulccsal.
A rosszindulatú program használat közben néhány karakterláncot is visszafejt, amelyeket röviddel ezután újra titkosít – mondták a kutatók. És tartalmaz olyan memóriapuffereket, amelyek tárolják az API-hívások eredményeit, valamint a visszafejtett karakterláncokat használat után nullákra cserélik.
Egy másik figyelemre méltó szempont a SpikedWine működésében, hogy a színész a támadási lánc minden szakaszában veszélyeztetett hálózati infrastruktúrát használ. A kutatók konkrétan három feltört webhelyet azonosítottak, amelyeket közbenső terhelések tárolására vagy C2-szerverként használnak.
Védelem és észlelés (Hogyan lehet elkerülni a vörösbor foltokat)
A Zscaler ThreatLabz értesítette az indiai Nemzeti Informatikai Központ (NIC) kapcsolattartóit az indiai kormány témáival való visszaélésről a támadásban.
Mivel a támadásban használt C2-szerver bizonyos időpontokban csak meghatározott típusú kérésekre válaszol, az automatizált elemzési megoldások nem tudják lekérni a C2-válaszokat és a moduláris rakományokat észlelés és elemzés céljából - mondták a kutatók. A védők segítése érdekében blogbejegyzésükbe belefoglalták a kompromisszumjelzők (IoC) és a támadáshoz kapcsolódó URL-ek listáját.
Egy többrétegű felhő biztonsági platform A kutatók megjegyezték, hogy a WineLoaderhez kapcsolódó IoC-ket különböző szinteken kell észlelnie, például a Win64.Downloader.WineLoader fenyegetésnévvel rendelkező fájlokat.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :van
- :is
- 27
- 30
- 7
- a
- Rólunk
- visszaélés
- Után
- ellen
- célzó
- Minden termék
- lehetővé téve
- Is
- alternatív
- Nagykövet
- an
- elemzés
- és a
- Másik
- bármilyen
- api
- megfelelő
- Archív
- VANNAK
- AS
- megjelenés
- társult
- At
- támadás
- Automatizált
- elkerülése érdekében
- hátsó ajtó
- BE
- jeladó
- óta
- előtt
- mögött
- Hisz
- között
- Blog
- mindkét
- by
- hívott
- kéri
- Kampány
- nem tud
- gondosan
- végrehajtott
- Központ
- bizonyos
- lánc
- jellegzetes
- kód
- kompromisszum
- Veszélyeztetett
- Configuration
- áll
- Kapcsolatok
- tartalmaz
- tartalom
- Mag
- országok
- kidolgozott
- Kreatív
- kulturális
- cyber
- cyberattack
- dátum
- Védők
- szállít
- kézbesítés
- bemutatását,
- Design
- kimutatására
- Érzékelés
- diplomaták
- felfedezett
- letöltés
- szinkronizált
- minden
- bármelyik
- e-mailek
- beágyazott
- alkalmaz
- titkosított
- vége
- manipulált
- élvez
- létrehozni
- EU
- európai
- európai unió
- Európai Unió (EU)
- kikerülni
- esemény
- kivégez
- végrehajtja
- végrehajtó
- végrehajtás
- kiaknázása
- hamisítvány
- Február
- filé
- Fájlok
- megtöltött
- végén
- követ
- A
- kriminalisztika
- ból ből
- funkció
- funkciók
- geopolitikai
- Kormány
- Őr
- Legyen
- segít
- Magas
- tárhely
- Hogyan
- How To
- HTTPS
- azonosított
- megszemélyesít
- in
- tartalmaz
- beleértve
- magában foglalja a
- India
- indián
- indiai kormány
- mutatók
- Infrastruktúra
- érdekelt
- bele
- meghívás
- meghívni
- hívogató
- IT
- maga
- január
- JavaScript
- Kulcs
- ismert
- LETTORSZÁG
- levél
- szint
- szintek
- LINK
- Lista
- betöltés
- elhelyezkedés
- gép
- rosszindulatú
- malware
- Memory design
- küldetések
- moduláris
- Modulok
- Modulok
- Többrétegű
- többszörös
- kell
- név
- Nevezett
- nemzeti
- Nemzetek
- hálózat
- következő
- figyelemre méltó
- neves
- szám
- of
- Ajánlatok
- tisztviselők
- on
- csak
- működik
- működés
- or
- érdekében
- ki
- átfogó
- részt vesz
- ösvény
- kitartás
- fázisok
- Plató
- Platón adatintelligencia
- PlatoData
- állás
- bevétel
- védelem
- közzétett
- kapott
- új
- Piros
- iktató hivatal
- összefüggő
- kapcsolatok
- kéri
- kutatók
- Tartózkodás
- válaszok
- Eredmények
- roy
- s
- Mondott
- biztonság
- érzékeny
- küldött
- szolgál
- szerver
- Szerverek
- számos
- Hamarosan
- kellene
- kimutatta,
- weboldal
- alvás
- társadalmilag
- Megoldások
- néhány
- kifinomultság
- különleges
- kifejezetten
- Szponzorált
- Színpad
- állapota
- kezdet
- kezdődik
- tárolni
- későbbi
- ilyen
- Támogatja
- taktika
- célzott
- Tay
- technikák
- hogy
- A
- azok
- Őket
- témák
- akkor
- ők
- ezt
- azok
- fenyegetés
- három
- alkalommal
- nak nek
- FORDULAT
- típusok
- alatt
- unió
- frissítése
- feltöltve
- használ
- használt
- Felhasználók
- használ
- segítségével
- különféle
- Áldozat
- we
- honlapok
- JÓL
- amikor
- ami
- BOR
- val vel
- belül
- írt
- zephyrnet
- Postai irányítószám