ヨーロッパ人は高級ワインを楽しむことで知られていますが、この文化的特徴は、最近の脅威キャンペーンの背後にいる攻撃者によってヨーロッパ人に対して悪用されてきました。このサイバー作戦は、 小説のバックドア 偽のワイン試飲イベントで欧州連合(EU)の外交官を誘惑した。
ゼットスケーラー社のThreatLabzの研究者らは、特にインドの在外公館を持つEU諸国の当局者をターゲットにしたこのキャンペーンを発見した、と彼らは書いている。 ブログの記事で 適切に「SpikedWine」と呼ばれるこの俳優は、インド大使からの招待状を装った電子メールにPDFファイルを使用し、27月2日のワイン試飲イベントに外交官を招待した。
Zscaler ThreatLabzの研究者であるSudeep Singh氏とRoy Tay氏は、「インドとヨーロッパ諸国の外交官との地政学的な関係を悪用することに興味を持った国民国家を脅かす攻撃者がこの攻撃を実行したと我々は考えている」とZscaler ThreatLabzの研究者であるSudeep Singh氏とRoy Tay氏は投稿で述べた。
キャンペーンのペイロードは、 裏口 研究者はこれを「WineLoader」と呼んでいます。これはモジュール設計で、検出を回避するための特別な技術を採用しています。これらには、メモリ内の機密データを保護し、メモリフォレンジックソリューションを回避するために役立つ再暗号化とメモリバッファのゼロ設定が含まれると研究者らは指摘した。
SpikedWine は、攻撃チェーンの複数の段階で、侵害された Web サイトをコマンド アンド コントロール (C2) に使用しました。攻撃チェーンは、被害者が PDF 内のリンクをクリックしたときに始まり、WineLoader のモジュール配信で終わります。全体として、サイバー攻撃者は、ソーシャルエンジニアリングされたキャンペーンとマルウェアの創造的な作成の両方において、高いレベルの高度な技術を示したと研究者らは述べています。
SpikedWine が複数のサイバー攻撃段階を解明
Zscaler ThreatLabz は、30 月 XNUMX 日にラトビアから VirusTotal にアップロードされた PDF ファイル (インド大使公邸でのワインテイスティングと称する招待状) を発見しました。攻撃者はインド大使になりすますために内容を慎重に作成しており、招待状には悪意のあるリンクが含まれています参加するには回答する必要があるという前提で偽のアンケートを作成します。
リンクをクリックすると、ユーザーは侵害されたサイトにリダイレクトされ、「wine.hta」というファイルを含む zip アーカイブがダウンロードされます。ダウンロードされたファイルには、攻撃の次の段階を実行する難読化された JavaScript コードが含まれています。
最終的に、このファイルはパス C:WindowsTasks から sqlwriter.exe という名前のファイルを実行し、vcruntime140.dll という名前の悪意のある DLL をロードすることによって WineLoader バックドア感染チェーンを開始します。これにより、エクスポートされた関数が実行されます。 set_se_translator、実行前に、ハードコードされた 256 バイトの RC4 キーを使用して、DLL 内に埋め込まれた WineLoader コア モジュールを復号化します。
WineLoader: モジュール型の永続的なバックドア マルウェア
WineLoader には複数のモジュールがあり、それぞれのモジュールは構成データ、RC4 キー、暗号化された文字列と、その後に続くモジュール コードで構成されます。研究者が観察したモジュールには、コア モジュールと永続化モジュールが含まれます。
コア モジュールは 2 つのコマンドをサポートします。コマンド アンド コントロール サーバー (CXNUMX) からのモジュールの同期または非同期の実行です。別の DLL へのバックドアの挿入。ビーコン要求間のスリープ間隔の更新。
永続化モジュールは、次のことを可能にすることを目的としています。 バックドア 一定の間隔で自動的に実行されます。また、ターゲット マシン上の別の場所でレジストリの永続性を確立するための代替構成も提供します。
サイバー攻撃者の回避戦術
WineLoader には特に検出を回避することを目的とした多数の機能があり、SpikedWine の注目すべきレベルの洗練性を示していると研究者らは述べています。 C2 サーバーからダウンロードされたコア モジュールと後続のモジュール、文字列、および C2 と送受信されるデータを、ハードコードされた 256 バイトの RC4 キーを使用して暗号化します。
研究者らによると、このマルウェアは使用時に一部の文字列を復号化し、その後すぐに再暗号化されるという。また、API 呼び出しの結果を保存するメモリ バッファーが含まれており、使用後に復号化された文字列をゼロに置き換えます。
SpikedWine の動作方法のもう 2 つの注目すべき側面は、攻撃者が攻撃チェーンのすべての段階で侵害されたネットワーク インフラストラクチャを使用していることです。具体的には、研究者らは、中間ペイロードのホストまたは CXNUMX サーバーとして使用されている XNUMX つの侵害された Web サイトを特定したと述べています。
保護と検出 (赤ワインのシミを避ける方法)
Zscaler ThreatLabz は、インドの国立情報学センター (NIC) の連絡先に、攻撃におけるインド政府のテーマの悪用について通知しました。
研究者らによると、攻撃に使用されたC2サーバーは特定の時間に特定の種類のリクエストにのみ応答するため、自動分析ソリューションは検出と分析のためにC2レスポンスやモジュール式ペイロードを取得できないという。防御側を支援するために、攻撃に関連する侵害の痕跡 (IoC) と URL のリストをブログ投稿に含めました。
多層的な クラウドセキュリティプラットフォーム 研究者らは、Win64.Downloader.WineLoader という脅威名を持つファイルなど、WineLoader に関連する IoC をさまざまなレベルで検出する必要があると指摘しています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :持っている
- :は
- 27
- 30
- 7
- a
- 私たちについて
- 虐待
- 後
- に対して
- 目的としました
- すべて
- 許可
- また
- 代替案
- 大使
- an
- 分析
- および
- 別の
- どれか
- API
- 適切に
- Archive
- です
- AS
- 側面
- 関連する
- At
- 攻撃
- 自動化
- 避ける
- 裏口
- BE
- ビーコン
- き
- 背後に
- 信じる
- の間に
- ブログ
- 両言語で
- by
- 呼ばれます
- コール
- キャンペーン
- 慎重に
- 実施
- センター
- 一定
- チェーン
- 特性
- コード
- 妥協
- 損害を受けた
- からなる
- コンタクト
- 含まれています
- 中身
- 基本
- 国
- 細工された
- クリエイティブ
- 文化的な
- サイバー
- サイバー攻撃
- データ
- ディフェンダー
- 配信する
- 配達
- デモ
- 設計
- 検出
- 検出
- 外交官
- 発見
- ダウンロード
- ダビングされた
- 各
- どちら
- メール
- 埋め込まれた
- 従業員
- では使用できません
- 終了
- 設計された
- 楽しみます
- 確立する
- EU
- 欧州言語
- 欧州連合
- 欧州連合(EU)
- 逃げる
- イベント
- 実行します
- 実行する
- 実行
- 実行
- 悪用
- 偽
- 2月
- File
- 埋め
- 終わり
- 続いて
- フォレンジック
- から
- function
- 機能
- 地政学的
- 政府・公共機関
- ガード
- 持ってる
- 助けます
- ハイ
- ホスティング
- 認定条件
- How To
- HTTPS
- 特定され
- 偽装する
- in
- include
- 含まれました
- 含ま
- インド
- インディアン
- インド政府
- インジケータ
- インフラ
- 興味がある
- に
- 招待状
- 招待
- 招待する
- IT
- 自体
- ジョン
- JavaScriptを
- キー
- 既知の
- ラトビア
- 手紙
- レベル
- レベル
- LINK
- リスト
- ローディング
- 場所
- 機械
- 悪意のある
- マルウェア
- メモリ
- ミッション
- モジュラー
- モジュール
- モジュール
- 多層
- の試合に
- しなければなりません
- 名
- 名前付き
- 国民
- 国連
- ネットワーク
- 次の
- 注目すべき
- 注意
- 数
- of
- オファー
- 関係者
- on
- の
- 動作
- 操作
- or
- 注文
- でる
- 全体
- 参加する
- path
- 持続性
- フェーズ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポスト
- 進む
- 保護
- 公表
- 受け
- 最近
- レッド
- レジストリ
- 関連する
- 関係
- リクエスト
- 研究者
- レジデンス
- 回答
- 結果
- ロイ
- s
- 前記
- セキュリティ
- 敏感な
- 送信
- 役立つ
- サーバー
- いくつかの
- まもなく
- すべき
- 示されました
- ウェブサイト
- 眠る
- 社会的に
- ソリューション
- 一部
- 洗練された
- 特定の
- 特に
- スポンサー
- ステージ
- ステージ
- start
- 開始
- 店舗
- それに続きます
- そのような
- サポート
- 戦術
- 対象となります
- テイ
- テクニック
- それ
- アプリ環境に合わせて
- それら
- テーマ
- その後
- 彼ら
- この
- それらの
- 脅威
- 三
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 順番
- 下
- 組合
- 更新
- アップロード
- つかいます
- 中古
- users
- 使用されます
- さまざまな
- 被害者
- we
- ウェブサイト
- WELL
- いつ
- which
- ワイン
- 以内
- 書いた
- ゼファーネット
- 〒