사이버 공격자들은 와인 시음 제안으로 EU 외교관을 유혹합니다.

유럽인들은 고급 와인을 즐기는 것으로 알려져 있는데, 이는 최근 위협 캠페인의 배후에 있는 공격자들이 유럽인들을 상대로 사용하는 문화적 특성입니다. 사이버 작전은 다음을 제공하는 것을 목표로 합니다. 소설 백도어 가짜 와인 시음회를 통해 유럽연합(EU) 외교관들을 유인합니다.

Zscaler의 ThreatLabz 연구원들은 특히 인도 외교 사절단이 있는 EU 국가의 관리들을 표적으로 삼은 캠페인을 발견했다고 썼습니다. 블로그 게시물에서 27월 2일 출판. "스파이크드와인(SpikedWine)"이라는 적절한 별명을 가진 이 배우는 XNUMX월 XNUMX일 와인 시음 행사에 외교관들을 초대하기 위해 인도 대사의 초청장이라고 주장하는 이메일에 PDF 파일을 사용했습니다.

Zscaler ThreatLabz 연구원인 Sudeep Singh과 Roy Tay는 게시물에서 “우리는 인도와 유럽 국가 외교관 간의 지정학적 관계를 악용하는 데 관심이 있는 국가 위협 행위자가 이번 공격을 수행했다고 믿습니다.”라고 밝혔습니다.

캠페인의 페이로드는 뒷문 연구원들은 모듈식 설계를 갖고 있으며 탐지를 회피하기 위해 특별히 기술을 사용하는 "WineLoader"라고 불렀습니다. 여기에는 메모리의 민감한 데이터를 보호하고 메모리 포렌식 솔루션을 회피하는 역할을 하는 재암호화 및 메모리 버퍼 제로화가 포함된다고 연구진은 지적했습니다.

SpikedWine은 공격 체인의 여러 단계에서 명령 및 제어(C2)를 위해 손상된 웹사이트를 사용했습니다. 공격 체인은 피해자가 PDF의 링크를 클릭할 때 시작되어 WineLoader의 모듈식 전달로 끝납니다. 전반적으로 사이버 공격자들은 사회 공학적 캠페인과 악성 코드를 창의적으로 제작하는 데 있어 높은 수준의 정교함을 보여주었다고 연구진은 말했습니다.

SpikedWine, 여러 사이버 공격 단계의 코르크 해제

Zscaler ThreatLabz는 30월 XNUMX일 라트비아에서 VirusTotal에 업로드된 인도 대사 관저에서 와인 시음회에 초대하는 PDF 파일을 발견했습니다. 공격자들은 인도 대사를 사칭하기 위해 콘텐츠를 정교하게 제작했으며 초대장에는 악성 링크가 포함되어 있습니다. 참여하려면 반드시 작성해야 한다는 전제하에 가짜 설문지를 작성하는 것입니다.

링크를 클릭하면(실수, 클릭) 사용자는 "wine.hta"라는 파일이 포함된 zip 아카이브를 다운로드하는 손상된 사이트로 리디렉션됩니다. 다운로드한 파일에는 공격의 다음 단계를 실행하는 난독화된 JavaScript 코드가 포함되어 있습니다.

결국 파일은 C:WindowsTasks 경로에서 sqlwriter.exe라는 파일을 실행하여 vcruntime140.dll이라는 악성 DLL을 로드하여 WineLoader 백도어 감염 체인을 시작합니다. 그러면 내보낸 함수가 실행됩니다. set_se_translator, 실행하기 전에 하드코딩된 256바이트 RC4 키를 사용하여 DLL 내에 내장된 WineLoader 코어 모듈의 암호를 해독합니다.

WineLoader: 모듈식, 지속적인 백도어 악성코드

WineLoader에는 여러 모듈이 있으며 각 모듈은 구성 데이터, RC4 키, 암호화된 문자열과 모듈 코드로 구성됩니다. 연구진이 관찰한 모듈에는 핵심 모듈과 지속성 모듈이 포함됩니다.

핵심 모듈은 세 가지 명령을 지원합니다. 명령 및 제어 서버(C2)에서 동기식 또는 비동기식으로 모듈 실행; 백도어를 다른 DLL에 삽입합니다. 그리고 비콘 요청 사이의 수면 간격 업데이트.

지속성 모듈은 다음을 목표로 합니다. 백도어 특정 간격으로 자체적으로 실행됩니다. 또한 대상 시스템의 다른 위치에서 레지스트리 지속성을 설정하기 위한 대체 구성을 제공합니다.

사이버 공격자의 회피 전술

WineLoader에는 특히 탐지 회피를 목표로 하는 다양한 기능이 있어 SpikedWine의 눈에 띄는 수준의 정교함을 입증한다고 연구진은 말했습니다. C2 서버에서 다운로드한 핵심 모듈과 후속 모듈, 문자열, C2에서 주고받은 데이터를 하드코딩된 256바이트 RC4 키로 암호화합니다.

또한 이 악성코드는 사용 중인 일부 문자열을 해독한 후 곧 다시 암호화한다고 연구원들은 말했습니다. 또한 API 호출의 결과를 저장하고 사용 후 해독된 문자열을 0으로 바꾸는 메모리 버퍼를 포함합니다.

SpikedWine의 작동 방식에서 주목할만한 또 다른 측면은 공격자가 공격 체인의 모든 단계에서 손상된 네트워크 인프라를 사용한다는 것입니다. 특히 연구원들은 중간 페이로드를 호스팅하거나 C2 서버로 사용되는 손상된 웹사이트 XNUMX개를 식별했다고 밝혔습니다.

보호 및 감지(적포도주 얼룩을 방지하는 방법)

Zscaler ThreatLabz는 이번 공격에서 인도 정부 주제가 남용되었다는 사실을 인도 국립정보센터(NIC) 담당자에게 알렸습니다.

공격에 사용된 C2 서버는 특정 시간에 특정 유형의 요청에만 응답하기 때문에 자동화 분석 솔루션은 탐지 및 분석을 위한 C2 응답 및 모듈형 페이로드를 검색할 수 없다고 연구진은 말했습니다. 방어자들을 돕기 위해 그들은 블로그 게시물에 공격과 관련된 IoC(침해 지표) 및 URL 목록을 포함했습니다.

다층적인 클라우드 보안 플랫폼 연구원들은 위협 이름이 Win64.Downloader.WineLoader인 모든 파일과 같이 다양한 수준에서 WineLoader와 관련된 IoC를 탐지해야 한다고 지적했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers