תוקפי סייבר מושכים דיפלומטים של האיחוד האירופי עם הצעות לטעימות יין

ידוע שהאירופים נהנים מיין משובח, מאפיין תרבותי ששימש נגדם תוקפים מאחורי מסע איומים שנערך לאחרונה. מבצע הסייבר נועד לספק א דלת אחורית רומן על ידי פיתוי דיפלומטים של האיחוד האירופי (EU) עם אירוע טעימות יין מזויף.

חוקרים ב-ThreatLabz של Zscaler גילו את הקמפיין, שכוון במיוחד לפקידים ממדינות האיחוד האירופי עם נציגויות דיפלומטיות הודיות, הם כתבו בפוסט בבלוג פורסם ב-27 בפברואר. השחקן - שזכה לכינוי המתאים "SpikedWine" - השתמש בקובץ PDF באימיילים המתיימרים להיות מכתב הזמנה משגריר הודו, המזמין דיפלומטים לאירוע טעימות יין ב-2 בפברואר.

"אנו מאמינים ששחקן איום במדינת לאום, המעוניין לנצל את היחסים הגיאו-פוליטיים בין הודו לדיפלומטים במדינות אירופה, ביצע את המתקפה הזו", כתבו בפוסט חוקרי Zscaler ThreatLabz, Sudeep Singh ו-Roy Tay.

המטען של הקמפיין הוא א דלת אחורית שחוקרים כינו "WineLoader", שיש לו עיצוב מודולרי ומשתמש בטכניקות במיוחד כדי להתחמק מגילוי. אלה כוללים הצפנה מחדש ואיפוס מאגרי זיכרון, המשמשים לשמירה על נתונים רגישים בזיכרון ולהתחמק מפתרונות זיהוי פלילי, ציינו החוקרים.

SpikedWine השתמשה באתרי אינטרנט שנפגעו לפקודה ושליטה (C2) במספר שלבים של שרשרת התקיפה, שמתחילה כאשר קורבן לוחץ על קישור ב-PDF ומסתיימת באספקה ​​מודולרית של WineLoader. בסך הכל, תוקפי הסייבר הראו רמה גבוהה של תחכום הן ביצירה היצירתית של הקמפיין המהנדס חברתית והן בתוכנות הזדוניות, אמרו החוקרים.

SpikedWine משחרר שלבי מתקפת סייבר מרובים

Zscaler ThreatLabz גילה את קובץ ה-PDF - ההזמנה לטעימות יין לכאורה במעון השגריר ההודי - שהועלה ל-VirusTotal מלטביה ב-30 בינואר. התוקפים יצרו את התוכן בקפידה כדי להתחזות לשגריר הודו, וההזמנה כוללת קישור זדוני. לשאלון מזויף בהנחה שיש למלא אותו על מנת להשתתף.

צלצול - טעות, לחיצה - על הקישור מפנה את המשתמשים לאתר שנפרץ שממשיך להוריד ארכיון zip המכיל קובץ בשם "wine.hta". הקובץ שהורד מכיל קוד JavaScript מעורפל שמבצע את השלב הבא של המתקפה.

בסופו של דבר, הקובץ מפעיל קובץ בשם sqlwriter.exe מהנתיב: C:WindowsTasks כדי להפעיל את שרשרת ההדבקה בדלת האחורית של WineLoader על ידי טעינת DLL זדוני בשם vcruntime140.dll. זה בתורו מבצע פונקציה מיוצאת set_se_translator, המפענח את מודול הליבה המוטבע של WineLoader בתוך ה-DLL באמצעות מפתח RC256 בקידוד קשיח של 4 בתים לפני ביצועו.

WineLoader: תוכנה זדונית לדלת אחורית מודולרית ומתמשכת

ל- WineLoader מספר מודולים, שכל אחד מהם מורכב מנתוני תצורה, מפתח RC4 וממחרוזות מוצפנות, ואחריהם קוד המודול. המודולים שנצפו על ידי החוקרים כוללים מודול ליבה ומודול התמדה.

מודול הליבה תומך בשלוש פקודות: ביצוע מודולים משרת הפקודה והבקרה (C2) באופן סינכרוני או אסינכרוני; הזרקת הדלת האחורית ל-DLL אחר; ועדכון מרווח השינה בין בקשות המשואות.

מודול ההתמדה נועד לאפשר הדלת האחורית לבצע את עצמו במרווחי זמן מסוימים. הוא מציע גם תצורה חלופית לביסוס התמדה של הרישום במיקום אחר במחשב ממוקד.

טקטיקת ההתחמקות של סייברטקר

ל- WineLoader יש מספר פונקציות שמטרתן במיוחד להתחמק מזיהוי, ומדגימות רמה בולטת של תחכום על ידי SpikedWine, אמרו החוקרים. הוא מצפין את מודול הליבה והמודולים הבאים שהורדו משרת C2, מחרוזות ונתונים שנשלחו והתקבלו מ-C2 - עם מפתח RC256 בקידוד קשיח של 4 בתים.

התוכנה הזדונית גם מפענחת כמה מחרוזות בשימוש שמוצפנות מחדש זמן קצר לאחר מכן, אמרו החוקרים. והוא כולל מאגרי זיכרון המאחסנים תוצאות מקריאות API, וכן מחליף מחרוזות מפוענחות באפסים לאחר השימוש.

היבט בולט נוסף של אופן הפעולה של SpikedWine הוא שהשחקן משתמש בתשתית רשת שנפגעה בכל שלבי שרשרת התקיפה. באופן ספציפי, החוקרים זיהו שלושה אתרים שנפגעו המשמשים לאירוח מטענים בינוניים או כשרתי C2, לדבריהם.

הגנה ואיתור (כיצד להימנע מכתמי יין אדום)

Zscaler ThreatLabz הודיעה לאנשי קשר במרכז הלאומי לאינפורמטיקה (NIC) בהודו על ניצול לרעה של נושאים ממשלתיים הודיים בהתקפה.

מכיוון ששרת C2 המשמש בהתקפה מגיב רק לסוגים ספציפיים של בקשות בזמנים מסוימים, פתרונות ניתוח אוטומטיים אינם יכולים לאחזר תגובות C2 ומטענים מודולריים לזיהוי וניתוח, אמרו החוקרים. כדי לעזור למגנים, הם כללו רשימה של אינדיקטורים של פשרה (IoCs) וכתובות URL הקשורות למתקפה בפוסט בבלוג שלהם.

רב שכבתי פלטפורמת אבטחה בענן צריך לזהות IoCs הקשורים WineLoader ברמות שונות, כמו כל קבצים עם שם האיום, Win64.Downloader.WineLoader, ציינו החוקרים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers