Ciberataques atraem diplomatas da UE com ofertas de degustação de vinhos

Os europeus são conhecidos por apreciarem bons vinhos, uma característica cultural que tem sido usada contra eles por agressores por detrás de uma recente campanha de ameaças. A operação cibernética teve como objetivo entregar um porta dos fundos nova atraindo diplomatas da União Europeia (UE) com um falso evento de degustação de vinhos.

Pesquisadores do ThreatLabz da Zscaler descobriram a campanha, que visava especificamente funcionários de países da UE com missões diplomáticas indianas, escreveram eles em um post de blog publicado em 27 de fevereiro. O ator – apropriadamente apelidado de “SpikedWine” – usou um arquivo PDF em e-mails que pretendiam ser uma carta-convite do embaixador da Índia, convidando diplomatas para um evento de degustação de vinhos em 2 de fevereiro.

“Acreditamos que um ator de ameaça do Estado-nação, interessado em explorar as relações geopolíticas entre a Índia e diplomatas em nações europeias, executou este ataque”, escreveram os pesquisadores do Zscaler ThreatLabz, Sudeep Singh e Roy Tay, no post.

A carga útil da campanha é um Porta dos fundos que os pesquisadores chamaram de “WineLoader”, que tem um design modular e emprega técnicas específicas para evitar a detecção. Isso inclui recriptografia e zeragem de buffers de memória, que servem para proteger dados confidenciais na memória e evitar soluções forenses de memória, observaram os pesquisadores.

SpikedWine usou sites comprometidos para comando e controle (C2) em vários estágios da cadeia de ataque, que começa quando a vítima clica em um link no PDF e termina com a entrega modular do WineLoader. No geral, os ciberataques mostraram um alto nível de sofisticação tanto na elaboração criativa da campanha de engenharia social quanto no malware, disseram os pesquisadores.

SpikedWine revela múltiplas fases de ataque cibernético

Zscaler ThreatLabz descobriu o arquivo PDF – o convite para uma suposta degustação de vinhos na residência do embaixador indiano – carregado no VirusTotal da Letônia em 30 de janeiro. Os invasores criaram o conteúdo cuidadosamente para se passar pelo embaixador da Índia, e o convite inclui um link malicioso a um questionário falso sob a premissa de que ele deve ser preenchido para poder participar.

Clicar – errar, clicar – no link redireciona os usuários para um site comprometido que baixa um arquivo zip contendo um arquivo chamado “wine.hta”. O arquivo baixado contém código JavaScript ofuscado que executa o próximo estágio do ataque.

Eventualmente, o arquivo executa um arquivo chamado sqlwriter.exe do caminho: C: WindowsTasks para iniciar a cadeia de infecção backdoor do WineLoader carregando uma DLL maliciosa chamada vcruntime140.dll. Isso, por sua vez, executa uma função exportada set_se_translator, que descriptografa o módulo principal WineLoader incorporado na DLL usando uma chave RC256 codificada de 4 bytes antes de executá-lo.

WineLoader: malware backdoor modular e persistente

WineLoader possui vários módulos, cada um dos quais consiste em dados de configuração, uma chave RC4 e strings criptografadas, seguidas pelo código do módulo. Os módulos observados pelos pesquisadores incluem um módulo principal e um módulo de persistência.

O módulo principal suporta três comandos: a execução de módulos do servidor de comando e controle (C2) de forma síncrona ou assíncrona; a injeção do backdoor em outra DLL; e a atualização do intervalo de sono entre solicitações de beacon.

O módulo de persistência tem como objetivo permitir A porta de trás para executar-se em determinados intervalos. Ele também oferece uma configuração alternativa para estabelecer a persistência do registro em outro local da máquina de destino.

Táticas evasivas do ciberataque

O WineLoader possui uma série de funções destinadas especificamente a evitar a detecção, demonstrando um nível notável de sofisticação do SpikedWine, disseram os pesquisadores. Ele criptografa o módulo principal e os módulos subsequentes baixados do servidor C2, strings e dados enviados e recebidos de C2 – com uma chave RC256 codificada de 4 bytes.

O malware também descriptografa algumas strings em uso que são criptografadas novamente logo depois, disseram os pesquisadores. E inclui buffers de memória que armazenam resultados de chamadas de API, bem como substitui strings descriptografadas por zeros após o uso.

Outro aspecto notável de como o SpikedWine opera é que o ator usa infraestrutura de rede comprometida em todos os estágios da cadeia de ataque. Especificamente, os pesquisadores identificaram três sites comprometidos usados ​​para hospedar cargas intermediárias ou como servidores C2, disseram.

Proteção e detecção (como evitar manchas de vinho tinto)

Zscaler ThreatLabz notificou contatos do Centro Nacional de Informática (NIC) da Índia sobre o abuso de temas do governo indiano no ataque.

Como o servidor C2 usado no ataque responde apenas a tipos específicos de solicitações em determinados momentos, as soluções de análise automatizada não podem recuperar respostas C2 e cargas modulares para detecção e análise, disseram os pesquisadores. Para ajudar os defensores, eles incluíram uma lista de indicadores de comprometimento (IoCs) e URLs associados ao ataque em sua postagem no blog.

Um multicamadas plataforma de segurança em nuvem deve detectar IoCs relacionados ao WineLoader em vários níveis, como quaisquer arquivos com o nome de ameaça Win64.Downloader.WineLoader, observaram os pesquisadores.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers