ידוע שהאירופים נהנים מיין משובח, מאפיין תרבותי ששימש נגדם תוקפים מאחורי מסע איומים שנערך לאחרונה. מבצע הסייבר נועד לספק א דלת אחורית רומן על ידי פיתוי דיפלומטים של האיחוד האירופי (EU) עם אירוע טעימות יין מזויף.
חוקרים ב-ThreatLabz של Zscaler גילו את הקמפיין, שכוון במיוחד לפקידים ממדינות האיחוד האירופי עם נציגויות דיפלומטיות הודיות, הם כתבו בפוסט בבלוג פורסם ב-27 בפברואר. השחקן - שזכה לכינוי המתאים "SpikedWine" - השתמש בקובץ PDF באימיילים המתיימרים להיות מכתב הזמנה משגריר הודו, המזמין דיפלומטים לאירוע טעימות יין ב-2 בפברואר.
"אנו מאמינים ששחקן איום במדינת לאום, המעוניין לנצל את היחסים הגיאו-פוליטיים בין הודו לדיפלומטים במדינות אירופה, ביצע את המתקפה הזו", כתבו בפוסט חוקרי Zscaler ThreatLabz, Sudeep Singh ו-Roy Tay.
המטען של הקמפיין הוא א דלת אחורית שחוקרים כינו "WineLoader", שיש לו עיצוב מודולרי ומשתמש בטכניקות במיוחד כדי להתחמק מגילוי. אלה כוללים הצפנה מחדש ואיפוס מאגרי זיכרון, המשמשים לשמירה על נתונים רגישים בזיכרון ולהתחמק מפתרונות זיהוי פלילי, ציינו החוקרים.
SpikedWine השתמשה באתרי אינטרנט שנפגעו לפקודה ושליטה (C2) במספר שלבים של שרשרת התקיפה, שמתחילה כאשר קורבן לוחץ על קישור ב-PDF ומסתיימת באספקה מודולרית של WineLoader. בסך הכל, תוקפי הסייבר הראו רמה גבוהה של תחכום הן ביצירה היצירתית של הקמפיין המהנדס חברתית והן בתוכנות הזדוניות, אמרו החוקרים.
SpikedWine משחרר שלבי מתקפת סייבר מרובים
Zscaler ThreatLabz גילה את קובץ ה-PDF - ההזמנה לטעימות יין לכאורה במעון השגריר ההודי - שהועלה ל-VirusTotal מלטביה ב-30 בינואר. התוקפים יצרו את התוכן בקפידה כדי להתחזות לשגריר הודו, וההזמנה כוללת קישור זדוני. לשאלון מזויף בהנחה שיש למלא אותו על מנת להשתתף.
צלצול - טעות, לחיצה - על הקישור מפנה את המשתמשים לאתר שנפרץ שממשיך להוריד ארכיון zip המכיל קובץ בשם "wine.hta". הקובץ שהורד מכיל קוד JavaScript מעורפל שמבצע את השלב הבא של המתקפה.
בסופו של דבר, הקובץ מפעיל קובץ בשם sqlwriter.exe מהנתיב: C:WindowsTasks כדי להפעיל את שרשרת ההדבקה בדלת האחורית של WineLoader על ידי טעינת DLL זדוני בשם vcruntime140.dll. זה בתורו מבצע פונקציה מיוצאת set_se_translator, המפענח את מודול הליבה המוטבע של WineLoader בתוך ה-DLL באמצעות מפתח RC256 בקידוד קשיח של 4 בתים לפני ביצועו.
WineLoader: תוכנה זדונית לדלת אחורית מודולרית ומתמשכת
ל- WineLoader מספר מודולים, שכל אחד מהם מורכב מנתוני תצורה, מפתח RC4 וממחרוזות מוצפנות, ואחריהם קוד המודול. המודולים שנצפו על ידי החוקרים כוללים מודול ליבה ומודול התמדה.
מודול הליבה תומך בשלוש פקודות: ביצוע מודולים משרת הפקודה והבקרה (C2) באופן סינכרוני או אסינכרוני; הזרקת הדלת האחורית ל-DLL אחר; ועדכון מרווח השינה בין בקשות המשואות.
מודול ההתמדה נועד לאפשר הדלת האחורית לבצע את עצמו במרווחי זמן מסוימים. הוא מציע גם תצורה חלופית לביסוס התמדה של הרישום במיקום אחר במחשב ממוקד.
טקטיקת ההתחמקות של סייברטקר
ל- WineLoader יש מספר פונקציות שמטרתן במיוחד להתחמק מזיהוי, ומדגימות רמה בולטת של תחכום על ידי SpikedWine, אמרו החוקרים. הוא מצפין את מודול הליבה והמודולים הבאים שהורדו משרת C2, מחרוזות ונתונים שנשלחו והתקבלו מ-C2 - עם מפתח RC256 בקידוד קשיח של 4 בתים.
התוכנה הזדונית גם מפענחת כמה מחרוזות בשימוש שמוצפנות מחדש זמן קצר לאחר מכן, אמרו החוקרים. והוא כולל מאגרי זיכרון המאחסנים תוצאות מקריאות API, וכן מחליף מחרוזות מפוענחות באפסים לאחר השימוש.
היבט בולט נוסף של אופן הפעולה של SpikedWine הוא שהשחקן משתמש בתשתית רשת שנפגעה בכל שלבי שרשרת התקיפה. באופן ספציפי, החוקרים זיהו שלושה אתרים שנפגעו המשמשים לאירוח מטענים בינוניים או כשרתי C2, לדבריהם.
הגנה ואיתור (כיצד להימנע מכתמי יין אדום)
Zscaler ThreatLabz הודיעה לאנשי קשר במרכז הלאומי לאינפורמטיקה (NIC) בהודו על ניצול לרעה של נושאים ממשלתיים הודיים בהתקפה.
מכיוון ששרת C2 המשמש בהתקפה מגיב רק לסוגים ספציפיים של בקשות בזמנים מסוימים, פתרונות ניתוח אוטומטיים אינם יכולים לאחזר תגובות C2 ומטענים מודולריים לזיהוי וניתוח, אמרו החוקרים. כדי לעזור למגנים, הם כללו רשימה של אינדיקטורים של פשרה (IoCs) וכתובות URL הקשורות למתקפה בפוסט בבלוג שלהם.
רב שכבתי פלטפורמת אבטחה בענן צריך לזהות IoCs הקשורים WineLoader ברמות שונות, כמו כל קבצים עם שם האיום, Win64.Downloader.WineLoader, ציינו החוקרים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :יש ל
- :הוא
- 27
- 30
- 7
- a
- אודות
- התעללות
- לאחר
- נגד
- מכוון
- תעשיות
- מאפשר
- גם
- חלופה
- שַׁגְרִיר
- an
- אנליזה
- ו
- אחר
- כל
- API
- כראוי
- ארכיון
- ARE
- AS
- אספקט
- המשויך
- At
- לתקוף
- אוטומטי
- לְהִמָנַע
- דלת אחורית
- BE
- משואה
- היה
- לפני
- מאחור
- תאמינו
- בֵּין
- בלוג
- שניהם
- by
- נקרא
- שיחות
- מבצע
- לא יכול
- בזהירות
- נשא
- מרכז
- מסוים
- שרשרת
- מאפיין
- קוד
- פשרה
- התפשר
- תְצוּרָה
- מורכב
- אנשי קשר
- מכיל
- תוכן
- ליבה
- מדינות
- מעוצב
- יְצִירָתִי
- תרבותי
- סייבר
- התקפת סייבר
- נתונים
- המגינים
- למסור
- מסירה
- הפגנה
- עיצוב
- לאתר
- איתור
- דיפלומטים
- גילה
- להורדה
- דיבוב
- כל אחד
- או
- מיילים
- מוטבע
- מעסיקה
- מוצפן
- מסתיים
- מהונדס
- להנות
- להקים
- EU
- אֵירוֹפִּי
- האיחוד האירופי
- האיחוד האירופי (האיחוד האירופי)
- בריחה
- אירוע
- לבצע
- מוציאים להורג
- מבצע
- הוצאת להורג
- מנצל
- מְזוּיָף
- פבואר
- שלח
- קבצים
- ממולא
- סוף
- בעקבות
- בעד
- זיהוי פלילי
- החל מ-
- פונקציה
- פונקציות
- הגיאופוליטי
- ממשלה
- שומר
- יש
- לעזור
- גָבוֹהַ
- אירוח
- איך
- איך
- HTTPS
- מזוהה
- להתחזות
- in
- לכלול
- כלול
- כולל
- הודו
- הוֹדִי
- ממשלת הודו
- אינדיקטורים
- תשתית
- מעוניין
- אל תוך
- הזמנה
- להזמין
- מזמין
- IT
- עצמו
- יאן
- JavaScript
- מפתח
- ידוע
- לטביה
- מכתב
- רמה
- רמות
- קשר
- רשימה
- טוען
- מיקום
- מכונה
- זדוני
- תוכנות זדוניות
- זכרון
- משימות
- מודולרי
- מודול
- מודולים
- רב שכבות
- מספר
- צריך
- שם
- שם
- לאומי
- המאוחדות
- רשת
- הבא
- יַקִיר
- ציין
- מספר
- of
- המיוחדות שלנו
- גורמים רשמיים
- on
- רק
- פועל
- מבצע
- or
- להזמין
- הַחוּצָה
- מקיף
- להשתתף
- נתיב
- התמדה
- שלבים
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעה
- ההכנסות
- .
- לאור
- קיבלו
- לאחרונה
- Red
- רישום
- קָשׁוּר
- יחסים
- בקשות
- חוקרים
- מגורים
- תגובות
- תוצאות
- רועי
- s
- אמר
- אבטחה
- רגיש
- נשלח
- לשרת
- שרת
- שרתים
- כמה
- בקצרה
- צריך
- הראה
- אתר
- לִישׁוֹן
- מבחינה חברתית
- פתרונות
- כמה
- תִחכּוּם
- ספציפי
- במיוחד
- ממומן
- התמחות
- שלבים
- התחלה
- התחלות
- חנות
- לאחר מכן
- כזה
- תומך
- טקטיקה
- ממוקד
- טאי
- טכניקות
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- נושאים
- אז
- הֵם
- זֶה
- אלה
- איום
- שְׁלוֹשָׁה
- פִּי
- ל
- תור
- סוגים
- תחת
- התאחדות
- עדכון
- נטען
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- שימושים
- באמצעות
- שונים
- קרבן
- we
- אתרים
- טוֹב
- מתי
- אשר
- יַיִן
- עם
- בתוך
- כתב
- זפירנט
- רוכסן