Het is bekend dat Europeanen van goede wijn houden, een cultureel kenmerk dat tegen hen wordt gebruikt door aanvallers achter een recente dreigingscampagne. De cyberoperatie had tot doel een nieuwe achterdeur door diplomaten van de Europese Unie (EU) te lokken met een nep-wijnproeverij.
Onderzoekers van Zscaler's ThreatLabz ontdekten de campagne, die zich specifiek richtte op ambtenaren uit EU-landen met Indiase diplomatieke missies, schreven ze in een blog post gepubliceerd op 27 februari. De acteur โ toepasselijk โSpikedWineโ genoemd โ gebruikte een pdf-bestand in e-mails die ogenschijnlijk een uitnodigingsbrief waren van de ambassadeur van India, waarin hij diplomaten uitnodigde voor een wijnproeverij op 2 februari.
โWij geloven dat een natiestaat-bedreigingsspeler, geรฏnteresseerd in het exploiteren van de geopolitieke betrekkingen tussen India en diplomaten in Europese landen, deze aanval heeft uitgevoerdโ, schreven Zscaler ThreatLabz-onderzoekers Sudeep Singh en Roy Tay in de post.
De payload van de campagne is a achterdeur die onderzoekers โWineLoaderโ hebben genoemd, die een modulair ontwerp heeft en technieken gebruikt die specifiek zijn om detectie te omzeilen. Deze omvatten hercodering en het op nul zetten van geheugenbuffers, die dienen om gevoelige gegevens in het geheugen te beschermen en geheugenforensische oplossingen te omzeilen, merkten de onderzoekers op.
SpikedWine gebruikte gecompromitteerde websites voor command-and-control (C2) in meerdere stadia van de aanvalsketen, die begint wanneer een slachtoffer op een link in de pdf klikt en eindigt met de modulaire levering van WineLoader. Over het geheel genomen vertoonden de cyberaanvallers een hoog niveau van verfijning, zowel in het creatieve ontwerp van de sociaal ontworpen campagne als in de malware, aldus de onderzoekers.
SpikedWine ontkurkt meerdere cyberaanvalfasen
Zscaler ThreatLabz ontdekte het pdf-bestand โ de uitnodiging voor een vermeende wijnproeverij in de woning van de Indiase ambassadeur โ dat op 30 januari vanuit Letland naar VirusTotal was geรผpload. Aanvallers hebben de inhoud zorgvuldig samengesteld om zich voor te doen als de ambassadeur van India, en de uitnodiging bevat een kwaadaardige link naar een nepvragenlijst met als uitgangspunt dat deze moet worden ingevuld om te kunnen deelnemen.
Door te klikken โ eh, te klikken โ op de link worden gebruikers omgeleid naar een gecompromitteerde site die vervolgens een zip-archief downloadt met daarin een bestand met de naam โwine.htaโ. Het gedownloade bestand bevat versluierde JavaScript-code die de volgende fase van de aanval uitvoert.
Uiteindelijk voert het bestand een bestand uit met de naam sqlwriter.exe vanaf het pad: C:WindowsTasks om de WineLoader-achterdeurinfectieketen te starten door een kwaadaardige DLL met de naam vcruntime140.dll te laden. Dit voert op zijn beurt een geรซxporteerde functie uit set_se_translator, dat de ingebedde WineLoader-kernmodule in de DLL decodeert met behulp van een hardgecodeerde RC256-sleutel van 4 bytes voordat deze wordt uitgevoerd.
WineLoader: modulaire, aanhoudende backdoor-malware
WineLoader heeft verschillende modules, die elk bestaan โโuit configuratiegegevens, een RC4-sleutel en gecodeerde strings, gevolgd door de modulecode. De door de onderzoekers waargenomen modules omvatten een kernmodule en een persistentiemodule.
De kernmodule ondersteunt drie opdrachten: de uitvoering van modules vanaf de command-and-control-server (C2), synchroon of asynchroon; de injectie van de achterdeur in een andere DLL; en het bijwerken van het slaapinterval tussen bakenverzoeken.
De volhardingsmodule is gericht op het toestaan de achterdeur om zichzelf met bepaalde tussenpozen uit te voeren. Het biedt ook een alternatieve configuratie om registerpersistentie op een andere locatie op een gerichte machine tot stand te brengen.
De ontwijkende tactieken van Cyberttacker
WineLoader heeft een aantal functies die specifiek gericht zijn op het omzeilen van detectie, wat een opmerkelijk niveau van verfijning van SpikedWine aantoont, aldus de onderzoekers. Het codeert de kernmodule en daaropvolgende modules die zijn gedownload van de C2-server, strings en gegevens die zijn verzonden en ontvangen van C2 - met een hardgecodeerde RC256-sleutel van 4 bytes.
De malware decodeert ook enkele strings bij gebruik, die vervolgens kort daarna opnieuw worden gecodeerd, aldus de onderzoekers. En het bevat geheugenbuffers die de resultaten van API-aanroepen opslaan, en vervangt gedecodeerde tekenreeksen na gebruik door nullen.
Een ander opmerkelijk aspect van de manier waarop SpikedWine werkt, is dat de actor in alle stadia van de aanvalsketen gebruik maakt van een gecompromitteerde netwerkinfrastructuur. Concreet identificeerden de onderzoekers drie gecompromitteerde websites die worden gebruikt voor het hosten van tussenliggende payloads of als C2-servers, zeiden ze.
Bescherming en detectie (rode wijnvlekken vermijden)
Zscaler ThreatLabz heeft contacten bij het National Informatics Centre (NIC) in India op de hoogte gebracht van het misbruik van Indiase overheidsthema's bij de aanval.
Omdat de C2-server die bij de aanval wordt gebruikt op bepaalde momenten alleen op specifieke soorten verzoeken reageert, kunnen geautomatiseerde analyseoplossingen geen C2-reacties en modulaire payloads ophalen voor detectie en analyse, aldus de onderzoekers. Om verdedigers te helpen, hebben ze in hun blogpost een lijst met indicatoren van compromissen (IoCโs) en URLโs die verband houden met de aanval opgenomen.
Een meerlaags cloudbeveiligingsplatform zouden IoCโs gerelateerd aan WineLoader op verschillende niveaus moeten detecteren, zoals alle bestanden met de bedreigingsnaam Win64.Downloader.WineLoader, merkten de onderzoekers op.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- : heeft
- :is
- 27
- 30
- 7
- a
- Over
- misbruik
- Na
- tegen
- Gericht
- Alles
- Het toestaan
- ook
- alternatief
- Ambassadeur
- an
- analyse
- en
- Nog een
- elke
- api
- op gepaste wijze
- Archief
- ZIJN
- AS
- verschijning
- geassocieerd
- At
- aanvallen
- geautomatiseerde
- vermijd
- achterdeur
- BE
- baken
- geweest
- vaardigheden
- achter
- geloofd wie en wat je bent
- tussen
- Blog
- zowel
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- Campagne
- kan niet
- voorzichtig
- gedragen
- Centreren
- zeker
- keten
- karakteristiek
- code
- compromis
- Aangetast
- Configuratie
- bestaat uit
- contacten
- bevat
- inhoud
- Kern
- landen
- bewerkte
- Creatieve
- culturele
- cyber
- Cyber โโaanval
- gegevens
- verdedigers
- leveren
- levering
- demonstrating
- Design
- opsporen
- Opsporing
- diplomaten
- ontdekt
- Download
- nagesynchroniseerde
- elk
- beide
- e-mails
- ingebed
- telt
- versleutelde
- eindigt
- ontworpen
- en geniet van
- oprichten
- EU
- Nederlands
- Europeese Unie
- Europese Unie (EU)
- ontwijken
- Event
- uitvoeren
- Voert uit
- uitvoeren
- uitvoering
- uitbuiten
- nep
- Feb
- Dien in
- Bestanden
- gevuld
- einde
- gevolgd
- Voor
- forensisch onderzoek
- oppompen van
- functie
- functies
- geopolitiek
- Overheid
- bewaker
- Hebben
- hulp
- Hoge
- Hosting
- Hoe
- How To
- HTTPS
- geรฏdentificeerd
- verpersoonlijken
- in
- omvatten
- inclusief
- omvat
- Indiรซ
- Indian
- Indiase regering
- indicatoren
- Infrastructuur
- geรฏnteresseerd
- in
- uitnodiging
- uitnodigt
- uitnodigend
- IT
- zelf
- jan
- JavaScript
- sleutel
- bekend
- LETLAND
- letter
- Niveau
- niveaus
- LINK
- Lijst
- het laden
- plaats
- machine
- kwaadaardig
- malware
- Geheugen
- missies
- modulaire
- Module
- Modules
- Meerlaags
- meervoudig
- Dan moet je
- naam
- Genoemd
- nationaal
- Landen
- netwerk
- volgende
- opvallend
- bekend
- aantal
- of
- Aanbod
- ambtenaren
- on
- Slechts
- exploiteert
- operatie
- or
- bestellen
- uit
- totaal
- deelnemen
- pad
- volharding
- fasen
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- opbrengst
- bescherming
- gepubliceerde
- ontvangen
- recent
- Rood
- register
- verwant
- betrekkingen
- verzoeken
- onderzoekers
- Residentie
- reacties
- Resultaten
- roy
- s
- Zei
- veiligheid
- gevoelig
- verzonden
- dienen
- server
- Servers
- verscheidene
- binnenkort
- moet
- vertoonde
- website
- slaap
- maatschappelijk
- Oplossingen
- sommige
- verfijning
- specifiek
- specifiek
- Gesponsorde
- Stadium
- stadia
- begin
- starts
- shop
- volgend
- dergelijk
- steunen
- tactiek
- doelgerichte
- Tay
- technieken
- dat
- De
- hun
- Ze
- thema's
- harte
- ze
- dit
- die
- bedreiging
- drie
- keer
- naar
- BEURT
- types
- voor
- unie
- bijwerken
- geรผpload
- .
- gebruikt
- gebruikers
- toepassingen
- gebruik
- divers
- Slachtoffer
- we
- websites
- GOED
- wanneer
- welke
- WIJN
- Met
- binnen
- schreef
- zephyrnet
- Postcode
