Penyerang Siber Memikat Diplomat UE dengan Tawaran Mencicipi Anggur

Masyarakat Eropa dikenal menyukai minuman anggur berkualitas, sebuah karakteristik budaya yang digunakan untuk melawan mereka oleh para penyerang di balik kampanye ancaman baru-baru ini. Operasi siber bertujuan untuk mewujudkan a pintu belakang baru dengan memikat diplomat Uni Eropa (UE) dengan acara mencicipi anggur palsu.

Para peneliti di ThreatLabz milik Zscaler menemukan kampanye tersebut, yang secara khusus menargetkan pejabat dari negara-negara UE yang memiliki misi diplomatik India, tulis mereka dalam posting blog diterbitkan pada 27 Februari. Aktor tersebut — yang dijuluki “SpikedWine” — menggunakan file PDF dalam email yang mengaku sebagai surat undangan dari duta besar India, yang mengundang diplomat ke acara mencicipi anggur pada 2 Februari.

“Kami percaya bahwa aktor ancaman negara, yang tertarik untuk mengeksploitasi hubungan geopolitik antara India dan diplomat di negara-negara Eropa, melakukan serangan ini,” tulis peneliti Zscaler ThreatLabz, Sudeep Singh dan Roy Tay dalam postingan tersebut.

Muatan kampanye adalah a pintu belakang yang oleh para peneliti disebut “WineLoader,” yang memiliki desain modular dan menggunakan teknik khusus untuk menghindari deteksi. Hal ini termasuk enkripsi ulang dan menghilangkan buffer memori, yang berfungsi untuk menjaga data sensitif dalam memori dan menghindari solusi forensik memori, catat para peneliti.

SpikedWine menggunakan situs web yang disusupi untuk perintah dan kontrol (C2) pada berbagai tahap rantai serangan, yang dimulai saat korban mengeklik tautan di PDF dan diakhiri dengan pengiriman modular WineLoader. Secara keseluruhan, para penyerang siber menunjukkan tingkat kecanggihan yang tinggi baik dalam menyusun kampanye rekayasa sosial maupun malware, kata para peneliti.

SpikedWine Membuka Berbagai Fase Serangan Siber

Zscaler ThreatLabz menemukan file PDF – undangan untuk mencicipi anggur di kediaman duta besar India – diunggah ke VirusTotal dari Latvia pada 30 Januari. Penyerang membuat konten dengan hati-hati untuk meniru duta besar India, dan undangan tersebut menyertakan tautan berbahaya ke kuesioner palsu dengan alasan bahwa kuesioner tersebut harus diisi untuk berpartisipasi.

Dentingan — err, klik — pada tautan akan mengarahkan pengguna ke situs yang disusupi dan kemudian mengunduh arsip zip yang berisi file bernama “wine.hta.” File yang diunduh berisi kode JavaScript yang dikaburkan yang mengeksekusi serangan tahap berikutnya.

Akhirnya, file tersebut mengeksekusi file bernama sqlwriter.exe dari jalur: C:WindowsTasks untuk memulai rantai infeksi pintu belakang WineLoader dengan memuat DLL berbahaya bernama vcruntime140.dll. Ini pada gilirannya menjalankan fungsi yang diekspor set_se_translator, yang mendekripsi modul inti WineLoader yang tertanam di dalam DLL menggunakan kunci RC256 4-byte yang dikodekan secara hardcode sebelum menjalankannya.

WineLoader: Malware Pintu Belakang yang Modular dan Persisten

WineLoader memiliki beberapa modul, yang masing-masing terdiri dari data konfigurasi, kunci RC4, dan string terenkripsi, diikuti dengan kode modul. Modul yang diamati peneliti meliputi modul inti dan modul persistensi.

Modul inti mendukung tiga perintah: eksekusi modul dari server perintah-dan-kontrol (C2) baik secara sinkron atau asinkron; injeksi pintu belakang ke DLL lain; dan pembaruan interval tidur antara permintaan suar.

Modul persistensi ditujukan untuk memungkinkan pintu belakang untuk mengeksekusi dirinya sendiri pada interval tertentu. Ia juga menawarkan konfigurasi alternatif untuk membangun persistensi registri di lokasi lain pada mesin yang ditargetkan.

Taktik Menghindari Cyberttacker

WineLoader memiliki sejumlah fungsi yang secara khusus ditujukan untuk menghindari deteksi, menunjukkan tingkat kecanggihan SpikedWine yang luar biasa, kata para peneliti. Ini mengenkripsi modul inti dan modul berikutnya yang diunduh dari server C2, string, dan data yang dikirim dan diterima dari C2 — dengan kunci RC256 4 byte yang dikodekan secara hardcode.

Malware ini juga mendekripsi beberapa string yang digunakan yang kemudian dienkripsi ulang segera setelahnya, kata para peneliti. Dan itu termasuk buffer memori yang menyimpan hasil dari panggilan API, serta menggantikan string yang didekripsi dengan nol setelah digunakan.

Aspek penting lainnya tentang cara SpikedWine beroperasi adalah aktor tersebut menggunakan infrastruktur jaringan yang telah dikompromikan di semua tahap rantai serangan. Secara khusus, para peneliti mengidentifikasi tiga situs web yang disusupi yang digunakan untuk menampung muatan perantara atau sebagai server C2, kata mereka.

Perlindungan & Deteksi (Cara Menghindari Noda Anggur Merah)

Zscaler ThreatLabz telah memberi tahu kontak di Pusat Informatika Nasional (NIC) di India tentang penyalahgunaan tema pemerintah India dalam serangan tersebut.

Karena server C2 yang digunakan dalam serangan tersebut hanya merespons jenis permintaan tertentu pada waktu tertentu, solusi analisis otomatis tidak dapat mengambil respons C2 dan muatan modular untuk deteksi dan analisis, kata para peneliti. Untuk membantu para pembela HAM, mereka menyertakan daftar indikator kompromi (IoC) dan URL yang terkait dengan serangan tersebut dalam postingan blog mereka.

Berlapis-lapis platform keamanan awan harus mendeteksi IoC yang terkait dengan WineLoader di berbagai tingkatan, seperti file apa pun dengan nama ancaman, Win64.Downloader.WineLoader, catat para peneliti.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers