Europeere er kjent for å nyte god vin, en kulturell egenskap som har blitt brukt mot dem av angripere bak en nylig trusselkampanje. Cyberoperasjonen hadde som mål å levere en ny bakdør ved å lokke EU-diplomater med en falsk vinsmaking.
Forskere ved Zscalers ThreatLabz oppdaget kampanjen, som spesifikt var rettet mot tjenestemenn fra EU-land med indiske diplomatiske oppdrag, skrev de i et blogginnlegg publisert 27. februar. Skuespilleren – passende kalt «SpikedWine» – brukte en PDF-fil i e-poster som påstod å være et invitasjonsbrev fra Indias ambassadør, som inviterte diplomater til en vinsmakingsarrangement 2. februar.
"Vi tror at en nasjonalstatstrusselaktør, interessert i å utnytte de geopolitiske relasjonene mellom India og diplomater i europeiske nasjoner, utførte dette angrepet," skrev Zscaler ThreatLabz-forskerne Sudeep Singh og Roy Tay i innlegget.
Kampanjens nyttelast er en backdoor som forskere har kalt "WineLoader", som har en modulær design og bruker teknikker spesifikt for å unngå deteksjon. Disse inkluderer re-kryptering og nullstilling av minnebuffere, som tjener til å beskytte sensitive data i minnet og unndra minne etterforskningsløsninger, bemerket forskerne.
SpikedWine brukte kompromitterte nettsteder for kommando-og-kontroll (C2) i flere stadier av angrepskjeden, som starter når et offer klikker på en lenke i PDF-en og slutter med den modulære leveringen av WineLoader. Totalt sett viste nettangriperne et høyt nivå av sofistikering både i den kreative utformingen av den sosialt konstruerte kampanjen og skadelig programvare, sa forskerne.
SpikedWine fjerner korker til flere cyberangrepsfaser
Zscaler ThreatLabz oppdaget PDF-filen – invitasjonen til en påstått vinsmaking i den indiske ambassadørens bolig – lastet opp til VirusTotal fra Latvia 30. januar. Angripere laget innholdet nøye for å etterligne Indias ambassadør, og invitasjonen inneholder en ondsinnet lenke til et falskt spørreskjema under forutsetning av at det må fylles ut for å delta.
Klinking - feil, klikk - på lenken omdirigerer brukere til et kompromittert nettsted som fortsetter å laste ned et zip-arkiv som inneholder en fil kalt "wine.hta." Den nedlastede filen inneholder skjult JavaScript-kode som utfører neste trinn av angrepet.
Til slutt kjører filen en fil kalt sqlwriter.exe fra banen: C:WindowsTasks for å starte WineLoader-bakdørsinfeksjonskjeden ved å laste inn en ondsinnet DLL kalt vcruntime140.dll. Dette utfører igjen en eksportert funksjon set_se_translator, som dekrypterer den innebygde WineLoader-kjernemodulen i DLL-en ved hjelp av en hardkodet 256-byte RC4-nøkkel før den kjøres.
WineLoader: Modulær, vedvarende bakdørs skadelig programvare
WineLoader har flere moduler, som hver består av konfigurasjonsdata, en RC4-nøkkel og krypterte strenger, etterfulgt av modulkoden. Modulene observert av forskerne inkluderer en kjernemodul og en utholdenhetsmodul.
Kjernemodulen støtter tre kommandoer: utførelse av moduler fra kommando-og-kontrollserveren (C2) enten synkront eller asynkront; injeksjon av bakdøren i en annen DLL; og oppdatering av søvnintervallet mellom beacon-forespørsler.
Utholdenhetsmodulen er rettet mot å tillate bakdøren å utføre seg selv med visse intervaller. Den tilbyr også en alternativ konfigurasjon for å etablere registerutholdenhet på et annet sted på en målrettet maskin.
Cybertackers unnvikende taktikk
WineLoader har en rekke funksjoner spesifikt rettet mot å unndra deteksjon, og demonstrerer et bemerkelsesverdig nivå av sofistikering av SpikedWine, sa forskerne. Den krypterer kjernemodulen og påfølgende moduler lastet ned fra C2-serveren, strenger og data sendt og mottatt fra C2 - med en hardkodet 256-byte RC4-nøkkel.
Skadevaren dekrypterer også noen strenger ved bruk som deretter blir kryptert på nytt kort tid etter, sa forskerne. Og den inkluderer minnebuffere som lagrer resultater fra API-kall, samt erstatter dekrypterte strenger med nuller etter bruk.
Et annet bemerkelsesverdig aspekt ved hvordan SpikedWine opererer er at skuespilleren bruker kompromittert nettverksinfrastruktur i alle stadier av angrepskjeden. Spesifikt identifiserte forskerne tre kompromitterte nettsteder som ble brukt for å være vert for mellomliggende nyttelast eller som C2-servere, sa de.
Beskyttelse og gjenkjenning (hvordan unngå rødvinsflekker)
Zscaler ThreatLabz har varslet kontakter ved National Informatics Center (NIC) i India om misbruk av indiske regjeringstemaer i angrepet.
Siden C2-serveren som ble brukt i angrepet bare reagerer på spesifikke typer forespørsler til bestemte tider, kan ikke automatiserte analyseløsninger hente C2-svar og modulære nyttelaster for deteksjon og analyse, sa forskerne. For å hjelpe forsvarere inkluderte de en liste over indikatorer på kompromiss (IoCs) og URL-er knyttet til angrepet i blogginnlegget deres.
En flerlags skysikkerhetsplattform bør oppdage IoC-er relatert til WineLoader på ulike nivåer, for eksempel filer med trusselnavnet Win64.Downloader.WineLoader, bemerket forskerne.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- : har
- :er
- 27
- 30
- 7
- a
- Om oss
- misbruk
- Etter
- mot
- sikte
- Alle
- tillate
- også
- alternativ
- Ambassadør
- an
- analyse
- og
- En annen
- noen
- api
- hensiktsmessig
- Arkiv
- ER
- AS
- aspektet
- assosiert
- At
- angripe
- Automatisert
- unngå
- backdoor
- BE
- sjømerke
- vært
- før du
- bak
- tro
- mellom
- Blogg
- både
- by
- som heter
- Samtaler
- Kampanje
- kan ikke
- nøye
- gjennomført
- sentrum
- viss
- kjede
- karakteristisk
- kode
- kompromiss
- kompromittert
- Konfigurasjon
- består
- kontakter
- inneholder
- innhold
- Kjerne
- land
- utformet
- Kreativ
- kulturell
- cyber
- Cyber angrep
- dato
- Defenders
- leverer
- levering
- demonstrere
- utforming
- oppdage
- Gjenkjenning
- diplomater
- oppdaget
- nedlasting
- dubbet
- hver enkelt
- enten
- e-post
- innebygd
- anvender
- kryptert
- slutter
- konstruert
- nyte
- etablere
- EU
- europeisk
- Den Europeiske Union
- EU (EU)
- unngå
- Event
- henrette
- Utfører
- utførende
- gjennomføring
- utnytte
- forfalskning
- Februar
- filet
- Filer
- fylt
- slutt
- fulgt
- Til
- etterforskning
- fra
- funksjon
- funksjoner
- geopolitiske
- Regjeringen
- Guard
- Ha
- hjelpe
- Høy
- Hosting
- Hvordan
- Hvordan
- HTTPS
- identifisert
- ligne
- in
- inkludere
- inkludert
- inkluderer
- india
- indisk
- indisk regjering
- indikatorer
- Infrastruktur
- interessert
- inn
- invitasjon
- invitere
- innbydende
- IT
- selv
- jan
- Javascript
- nøkkel
- kjent
- LATVIA
- brev
- Nivå
- nivåer
- LINK
- Liste
- lasting
- plassering
- maskin
- skadelig
- malware
- Minne
- oppdrag
- modulære
- Moduler
- Moduler
- Flerlags
- flere
- må
- navn
- oppkalt
- nasjonal
- Nasjoner
- nettverk
- neste
- bemerkelsesverdig
- bemerket
- Antall
- of
- Tilbud
- tjenestemenn
- on
- bare
- opererer
- drift
- or
- rekkefølge
- ut
- samlet
- delta
- banen
- utholdenhet
- faser
- plato
- Platon Data Intelligence
- PlatonData
- Post
- fortsetter
- beskyttelse
- publisert
- mottatt
- nylig
- Rød
- registret
- i slekt
- relasjoner
- forespørsler
- forskere
- Residence
- svar
- Resultater
- roy
- s
- Sa
- sikkerhet
- sensitive
- sendt
- betjene
- server
- Servere
- flere
- Om kort tid
- bør
- viste
- nettstedet
- sove
- sosialt
- Solutions
- noen
- raffinement
- spesifikk
- spesielt
- Sponset
- Scene
- stadier
- Begynn
- starter
- oppbevare
- senere
- slik
- Støtter
- taktikk
- målrettet
- tay
- teknikker
- Det
- De
- deres
- Dem
- temaer
- deretter
- de
- denne
- De
- trussel
- tre
- ganger
- til
- SVING
- typer
- etter
- union
- oppdatering
- lastet opp
- bruke
- brukt
- Brukere
- bruker
- ved hjelp av
- ulike
- Offer
- we
- nettsteder
- VI VIL
- når
- hvilken
- VIN
- med
- innenfor
- skrev
- zephyrnet
- Zip