Cyberangripere lokker EU-diplomater med vinsmakingstilbud

Europeere er kjent for å nyte god vin, en kulturell egenskap som har blitt brukt mot dem av angripere bak en nylig trusselkampanje. Cyberoperasjonen hadde som mål å levere en ny bakdør ved å lokke EU-diplomater med en falsk vinsmaking.

Forskere ved Zscalers ThreatLabz oppdaget kampanjen, som spesifikt var rettet mot tjenestemenn fra EU-land med indiske diplomatiske oppdrag, skrev de i et blogginnlegg publisert 27. februar. Skuespilleren – passende kalt «SpikedWine» – brukte en PDF-fil i e-poster som påstod å være et invitasjonsbrev fra Indias ambassadør, som inviterte diplomater til en vinsmakingsarrangement 2. februar.

"Vi tror at en nasjonalstatstrusselaktør, interessert i å utnytte de geopolitiske relasjonene mellom India og diplomater i europeiske nasjoner, utførte dette angrepet," skrev Zscaler ThreatLabz-forskerne Sudeep Singh og Roy Tay i innlegget.

Kampanjens nyttelast er en backdoor som forskere har kalt "WineLoader", som har en modulær design og bruker teknikker spesifikt for å unngå deteksjon. Disse inkluderer re-kryptering og nullstilling av minnebuffere, som tjener til å beskytte sensitive data i minnet og unndra minne etterforskningsløsninger, bemerket forskerne.

SpikedWine brukte kompromitterte nettsteder for kommando-og-kontroll (C2) i flere stadier av angrepskjeden, som starter når et offer klikker på en lenke i PDF-en og slutter med den modulære leveringen av WineLoader. Totalt sett viste nettangriperne et høyt nivå av sofistikering både i den kreative utformingen av den sosialt konstruerte kampanjen og skadelig programvare, sa forskerne.

SpikedWine fjerner korker til flere cyberangrepsfaser

Zscaler ThreatLabz oppdaget PDF-filen – invitasjonen til en påstått vinsmaking i den indiske ambassadørens bolig – lastet opp til VirusTotal fra Latvia 30. januar. Angripere laget innholdet nøye for å etterligne Indias ambassadør, og invitasjonen inneholder en ondsinnet lenke til et falskt spørreskjema under forutsetning av at det må fylles ut for å delta.

Klinking - feil, klikk - på lenken omdirigerer brukere til et kompromittert nettsted som fortsetter å laste ned et zip-arkiv som inneholder en fil kalt "wine.hta." Den nedlastede filen inneholder skjult JavaScript-kode som utfører neste trinn av angrepet.

Til slutt kjører filen en fil kalt sqlwriter.exe fra banen: C:WindowsTasks for å starte WineLoader-bakdørsinfeksjonskjeden ved å laste inn en ondsinnet DLL kalt vcruntime140.dll. Dette utfører igjen en eksportert funksjon set_se_translator, som dekrypterer den innebygde WineLoader-kjernemodulen i DLL-en ved hjelp av en hardkodet 256-byte RC4-nøkkel før den kjøres.

WineLoader: Modulær, vedvarende bakdørs skadelig programvare

WineLoader har flere moduler, som hver består av konfigurasjonsdata, en RC4-nøkkel og krypterte strenger, etterfulgt av modulkoden. Modulene observert av forskerne inkluderer en kjernemodul og en utholdenhetsmodul.

Kjernemodulen støtter tre kommandoer: utførelse av moduler fra kommando-og-kontrollserveren (C2) enten synkront eller asynkront; injeksjon av bakdøren i en annen DLL; og oppdatering av søvnintervallet mellom beacon-forespørsler.

Utholdenhetsmodulen er rettet mot å tillate bakdøren å utføre seg selv med visse intervaller. Den tilbyr også en alternativ konfigurasjon for å etablere registerutholdenhet på et annet sted på en målrettet maskin.

Cybertackers unnvikende taktikk

WineLoader har en rekke funksjoner spesifikt rettet mot å unndra deteksjon, og demonstrerer et bemerkelsesverdig nivå av sofistikering av SpikedWine, sa forskerne. Den krypterer kjernemodulen og påfølgende moduler lastet ned fra C2-serveren, strenger og data sendt og mottatt fra C2 - med en hardkodet 256-byte RC4-nøkkel.

Skadevaren dekrypterer også noen strenger ved bruk som deretter blir kryptert på nytt kort tid etter, sa forskerne. Og den inkluderer minnebuffere som lagrer resultater fra API-kall, samt erstatter dekrypterte strenger med nuller etter bruk.

Et annet bemerkelsesverdig aspekt ved hvordan SpikedWine opererer er at skuespilleren bruker kompromittert nettverksinfrastruktur i alle stadier av angrepskjeden. Spesifikt identifiserte forskerne tre kompromitterte nettsteder som ble brukt for å være vert for mellomliggende nyttelast eller som C2-servere, sa de.

Beskyttelse og gjenkjenning (hvordan unngå rødvinsflekker)

Zscaler ThreatLabz har varslet kontakter ved National Informatics Center (NIC) i India om misbruk av indiske regjeringstemaer i angrepet.

Siden C2-serveren som ble brukt i angrepet bare reagerer på spesifikke typer forespørsler til bestemte tider, kan ikke automatiserte analyseløsninger hente C2-svar og modulære nyttelaster for deteksjon og analyse, sa forskerne. For å hjelpe forsvarere inkluderte de en liste over indikatorer på kompromiss (IoCs) og URL-er knyttet til angrepet i blogginnlegget deres.

En flerlags skysikkerhetsplattform bør oppdage IoC-er relatert til WineLoader på ulike nivåer, for eksempel filer med trusselnavnet Win64.Downloader.WineLoader, bemerket forskerne.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers