サイバー攻撃者がワインの試飲オファーで EU 外交官を誘惑

ヨーロッパ人は高級ワインを楽しむことで知られていますが、この文化的特徴は、最近の脅威キャンペーンの背後にいる攻撃者によってヨーロッパ人に対して悪用されてきました。このサイバー作戦は、 小説のバックドア 偽のワイン試飲イベントで欧州連合（EU）の外交官を誘惑した。

ゼットスケーラー社のThreatLabzの研究者らは、特にインドの在外公館を持つEU諸国の当局者をターゲットにしたこのキャンペーンを発見した、と彼らは書いている。 ブログの記事で 適切に「SpikedWine」と呼ばれるこの俳優は、インド大使からの招待状を装った電子メールにPDFファイルを使用し、27月2日のワイン試飲イベントに外交官を招待した。

Zscaler ThreatLabzの研究者であるSudeep Singh氏とRoy Tay氏は、「インドとヨーロッパ諸国の外交官との地政学的な関係を悪用することに興味を持った国民国家を脅かす攻撃者がこの攻撃を実行したと我々は考えている」とZscaler ThreatLabzの研究者であるSudeep Singh氏とRoy Tay氏は投稿で述べた。

キャンペーンのペイロードは、 裏口 研究者はこれを「WineLoader」と呼んでいます。これはモジュール設計で、検出を回避するための特別な技術を採用しています。これらには、メモリ内の機密データを保護し、メモリフォレンジックソリューションを回避するために役立つ再暗号化とメモリバッファのゼロ設定が含まれると研究者らは指摘した。

SpikedWine は、攻撃チェーンの複数の段階で、侵害された Web サイトをコマンド アンド コントロール (C2) に使用しました。攻撃チェーンは、被害者が PDF 内のリンクをクリックしたときに始まり、WineLoader のモジュール配信で終わります。全体として、サイバー攻撃者は、ソーシャルエンジニアリングされたキャンペーンとマルウェアの創造的な作成の両方において、高いレベルの高度な技術を示したと研究者らは述べています。

SpikedWine が複数のサイバー攻撃段階を解明

Zscaler ThreatLabz は、30 月 XNUMX 日にラトビアから VirusTotal にアップロードされた PDF ファイル (インド大使公邸でのワインテイスティングと称する招待状) を発見しました。攻撃者はインド大使になりすますために内容を慎重に作成しており、招待状には悪意のあるリンクが含まれています参加するには回答する必要があるという前提で偽のアンケートを作成します。

リンクをクリックすると、ユーザーは侵害されたサイトにリダイレクトされ、「wine.hta」というファイルを含む zip アーカイブがダウンロードされます。ダウンロードされたファイルには、攻撃の次の段階を実行する難読化された JavaScript コードが含まれています。

最終的に、このファイルはパス C:WindowsTasks から sqlwriter.exe という名前のファイルを実行し、vcruntime140.dll という名前の悪意のある DLL をロードすることによって WineLoader バックドア感染チェーンを開始します。これにより、エクスポートされた関数が実行されます。 set_se_translator、実行前に、ハードコードされた 256 バイトの RC4 キーを使用して、DLL 内に埋め込まれた WineLoader コア モジュールを復号化します。

WineLoader: モジュール型の永続的なバックドア マルウェア

WineLoader には複数のモジュールがあり、それぞれのモジュールは構成データ、RC4 キー、暗号化された文字列と、その後に続くモジュール コードで構成されます。研究者が観察したモジュールには、コア モジュールと永続化モジュールが含まれます。

コア モジュールは 2 つのコマンドをサポートします。コマンド アンド コントロール サーバー (CXNUMX) からのモジュールの同期または非同期の実行です。別の DLL へのバックドアの挿入。ビーコン要求間のスリープ間隔の更新。

永続化モジュールは、次のことを可能にすることを目的としています。 バックドア 一定の間隔で自動的に実行されます。また、ターゲット マシン上の別の場所でレジストリの永続性を確立するための代替構成も提供します。

サイバー攻撃者の回避戦術

WineLoader には特に検出を回避することを目的とした多数の機能があり、SpikedWine の注目すべきレベルの洗練性を示していると研究者らは述べています。 C2 サーバーからダウンロードされたコア モジュールと後続のモジュール、文字列、および C2 と送受信されるデータを、ハードコードされた 256 バイトの RC4 キーを使用して暗号化します。

研究者らによると、このマルウェアは使用時に一部の文字列を復号化し、その後すぐに再暗号化されるという。また、API 呼び出しの結果を保存するメモリ バッファーが含まれており、使用後に復号化された文字列をゼロに置き換えます。

SpikedWine の動作方法のもう 2 つの注目すべき側面は、攻撃者が攻撃チェーンのすべての段階で侵害されたネットワーク インフラストラクチャを使用していることです。具体的には、研究者らは、中間ペイロードのホストまたは CXNUMX サーバーとして使用されている XNUMX つの侵害された Web サイトを特定したと述べています。

保護と検出 (赤ワインのシミを避ける方法)

Zscaler ThreatLabz は、インドの国立情報学センター (NIC) の連絡先に、攻撃におけるインド政府のテーマの悪用について通知しました。

研究者らによると、攻撃に使用されたC2サーバーは特定の時間に特定の種類のリクエストにのみ応答するため、自動分析ソリューションは検出と分析のためにC2レスポンスやモジュール式ペイロードを取得できないという。防御側を支援するために、攻撃に関連する侵害の痕跡 (IoC) と URL のリストをブログ投稿に含めました。

多層的な クラウドセキュリティプラットフォーム 研究者らは、Win64.Downloader.WineLoader という脅威名を持つファイルなど、WineLoader に関連する IoC をさまざまなレベルで検出する必要があると指摘しています。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers