I cyberattaccatori attirano i diplomatici europei con offerte di degustazioni di vino

I cyberattaccatori attirano i diplomatici europei con offerte di degustazioni di vino

Timestamp: 28 febbraio 2024 1:07
I cyberattaccatori attirano i diplomatici europei con offerte di degustazione di vini su PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

È noto che gli europei apprezzano il buon vino, una caratteristica culturale che è stata usata contro di loro dagli aggressori dietro una recente campagna di minacce. L'operazione informatica mirava a fornire a nuova backdoor attirando i diplomatici dell’Unione Europea (UE) con un falso evento di degustazione di vini.

I ricercatori del ThreatLabz di Zscaler hanno scoperto la campagna, che prendeva di mira specificamente i funzionari dei paesi dell'UE con missioni diplomatiche indiane, hanno scritto in un post sul blog pubblicato il 27 febbraio. L'attore - opportunamente soprannominato "SpikedWine" - ha utilizzato un file PDF nelle e-mail che pretendevano di essere una lettera di invito dell'ambasciatore dell'India, invitando i diplomatici a un evento di degustazione di vini il 2 febbraio.

"Crediamo che questo attacco sia stato condotto da uno stato-nazione, interessato a sfruttare le relazioni geopolitiche tra l'India e i diplomatici nelle nazioni europee", hanno scritto nel post i ricercatori di Zscaler ThreatLabz Sudeep Singh e Roy Tay.

Il payload della campagna è a porta posteriore che i ricercatori hanno chiamato “WineLoader”, che ha un design modulare e impiega tecniche specifiche per eludere il rilevamento. Questi includono la ri-crittografia e l’azzeramento dei buffer di memoria, che servono a proteggere i dati sensibili in memoria ed eludere le soluzioni forensi della memoria, hanno osservato i ricercatori.

SpikedWine ha utilizzato siti Web compromessi per il comando e controllo (C2) in più fasi della catena di attacco, che inizia quando una vittima fa clic su un collegamento nel PDF e termina con la consegna modulare di WineLoader. Nel complesso, gli aggressori informatici hanno mostrato un elevato livello di sofisticazione sia nella creazione creativa della campagna di ingegneria sociale che nel malware, hanno detto i ricercatori.

SpikedWine stappa molteplici fasi di attacco informatico

Zscaler ThreatLabz ha scoperto il file PDF - l'invito a una presunta degustazione di vino presso la residenza dell'ambasciatore indiano - caricato su VirusTotal dalla Lettonia il 30 gennaio. Gli aggressori hanno creato attentamente i contenuti per impersonare l'ambasciatore indiano e l'invito include un collegamento dannoso a un questionario falso con la premessa che deve essere compilato per poter partecipare.

Un tintinnio (ehm, un clic) sul collegamento reindirizza gli utenti a un sito compromesso che procede al download di un archivio zip contenente un file chiamato "wine.hta". Il file scaricato contiene codice JavaScript offuscato che esegue la fase successiva dell'attacco.

Alla fine, il file esegue un file denominato sqlwriter.exe dal percorso: C:WindowsTasks per avviare la catena di infezione backdoor di WineLoader caricando una DLL dannosa denominata vcruntime140.dll. Questo a sua volta esegue una funzione esportata set_se_translator, che decrittografa il modulo principale WineLoader incorporato nella DLL utilizzando una chiave RC256 da 4 byte codificata prima di eseguirlo.

WineLoader: malware backdoor modulare e persistente

WineLoader ha diversi moduli, ognuno dei quali è costituito da dati di configurazione, una chiave RC4 e stringhe crittografate, seguite dal codice del modulo. I moduli osservati dai ricercatori includono un modulo principale e un modulo di persistenza.

Il modulo principale supporta tre comandi: l'esecuzione dei moduli dal server di comando e controllo (C2) in modo sincrono o asincrono; l'inserimento della backdoor in un'altra DLL; e l'aggiornamento dell'intervallo di sonno tra le richieste di beacon.

Il modulo di persistenza ha lo scopo di consentire la porta sul retro per eseguirsi a determinati intervalli. Offre inoltre una configurazione alternativa per stabilire la persistenza del registro in un'altra posizione su una macchina mirata.

Le tattiche evasive del cyberattacker

WineLoader ha una serie di funzioni specificamente mirate a eludere il rilevamento, dimostrando un notevole livello di sofisticazione da parte di SpikedWine, hanno detto i ricercatori. Crittografa il modulo principale e i moduli successivi scaricati dal server C2, le stringhe e i dati inviati e ricevuti da C2, con una chiave RC256 da 4 byte codificata.

Il malware decodifica anche alcune stringhe durante l'uso che vengono poi nuovamente crittografate poco dopo, hanno detto i ricercatori. Inoltre include buffer di memoria che memorizzano i risultati delle chiamate API e sostituisce le stringhe decrittografate con zero dopo l'uso.

Un altro aspetto degno di nota del funzionamento di SpikedWine è che l'autore utilizza l'infrastruttura di rete compromessa in tutte le fasi della catena di attacco. Nello specifico, i ricercatori hanno identificato tre siti Web compromessi utilizzati per ospitare payload intermedi o come server C2.

Protezione e rilevamento (come evitare macchie di vino rosso)

Zscaler ThreatLabz ha informato i contatti del National Informatics Center (NIC) in India dell'abuso di temi del governo indiano nell'attacco.

Poiché il server C2 utilizzato nell’attacco risponde solo a tipi specifici di richieste in determinati momenti, le soluzioni di analisi automatizzata non possono recuperare risposte C2 e payload modulari per il rilevamento e l’analisi, hanno affermato i ricercatori. Per aiutare i difensori, hanno incluso un elenco di indicatori di compromissione (IoC) e URL associati all'attacco nel loro post sul blog.

Un multistrato piattaforma di sicurezza cloud dovrebbe rilevare gli IoC relativi a WineLoader a vari livelli, come qualsiasi file con il nome della minaccia Win64.Downloader.WineLoader, hanno osservato i ricercatori.

Timestamp:

Di più da Lettura oscura