Kibernetski napadalci zvabijo diplomate EU s ponudbami za degustacijo vin

Znano je, da Evropejci uživajo v dobrem vinu, kar je kulturna značilnost, ki so jo proti njim izkoristili napadalci, ki stojijo za nedavno kampanjo groženj. Namen kibernetske operacije je bil zagotoviti a roman backdoor z zvabljanjem diplomatov Evropske unije (EU) z lažnim dogodkom degustacije vin.

Raziskovalci pri Zscaler's ThreatLabz so odkrili kampanjo, ki je bila posebej usmerjena na uradnike iz držav EU z indijskimi diplomatskimi misijami, so zapisali v blog post objavljeno 27. februarja. Igralec - ustrezno poimenovan "SpikedWine" - je v e-poštnih sporočilih uporabil datoteko PDF, ki naj bi bila vabilo indijskega veleposlanika, ki vabi diplomate na dogodek degustacije 2. februarja.

"Verjamemo, da je ta napad izvedel akter nacionalne grožnje, ki se zanima za izkoriščanje geopolitičnih odnosov med Indijo in diplomati v evropskih državah," sta v objavi zapisala raziskovalca Zscaler ThreatLabz Sudeep Singh in Roy Tay.

Koristna obremenitev kampanje je a Zakulisni ki so ga raziskovalci poimenovali »WineLoader«, ki ima modularno zasnovo in uporablja posebne tehnike za izogibanje odkrivanju. Ti vključujejo ponovno šifriranje in izničenje pomnilniških medpomnilnikov, ki služijo za zaščito občutljivih podatkov v pomnilniku in izogibanje forenzičnim rešitvam pomnilnika, so opozorili raziskovalci.

SpikedWine je uporabil ogrožena spletna mesta za ukazovanje in nadzor (C2) na več stopnjah verige napada, ki se začne, ko žrtev klikne povezavo v PDF-ju, in konča z modularno dostavo WineLoaderja. Na splošno so kibernetski napadalci pokazali visoko stopnjo sofisticiranosti tako pri kreativnem oblikovanju družbeno zasnovane kampanje kot pri zlonamerni programski opremi, so povedali raziskovalci.

SpikedWine odmaši več faz kibernetskega napada

Zscaler ThreatLabz je odkril datoteko PDF – vabilo na domnevno degustacijo vina v rezidenci indijskega veleposlanika –, naloženo v VirusTotal iz Latvije 30. januarja. Napadalci so skrbno oblikovali vsebino, da bi posnemali indijskega veleposlanika, vabilo pa vključuje zlonamerno povezavo na lažni vprašalnik pod predpostavko, da ga je treba izpolniti za sodelovanje.

Klikanje - err, klikanje - na povezavo preusmeri uporabnike na ogroženo spletno mesto, ki nadaljuje s prenosom arhiva zip, ki vsebuje datoteko z imenom »wine.hta«. Prenesena datoteka vsebuje zakrito kodo JavaScript, ki izvede naslednjo stopnjo napada.

Sčasoma datoteka izvede datoteko z imenom sqlwriter.exe s poti: C:WindowsTasks, da zažene verigo okužbe WineLoader backdoor z nalaganjem zlonamernega DLL z imenom vcruntime140.dll. To nato izvede izvoženo funkcijo set_se_translator, ki dešifrira vdelan jedrni modul WineLoader znotraj DLL z uporabo trdo kodiranega 256-bajtnega ključa RC4, preden ga izvede.

WineLoader: modularna, obstojna zlonamerna programska oprema za zakulisna vrata

WineLoader ima več modulov, od katerih je vsak sestavljen iz konfiguracijskih podatkov, ključa RC4 in šifriranih nizov, ki jim sledi koda modula. Moduli, ki so jih opazovali raziskovalci, vključujejo osrednji modul in vztrajnostni modul.

Osnovni modul podpira tri ukaze: izvajanje modulov iz ukazno-nadzornega strežnika (C2) sinhrono ali asinhrono; vbrizgavanje stranskih vrat v drug DLL; in posodabljanje intervala mirovanja med zahtevami svetilnika.

Modul obstojnosti je namenjen omogočanju zadnja vrata da se izvaja v določenih intervalih. Ponuja tudi alternativno konfiguracijo za vzpostavitev obstojnosti registra na drugi lokaciji na ciljnem računalniku.

Izmikajoče se taktike kibernetskega napadalca

Raziskovalci so povedali, da ima WineLoader številne funkcije, ki so posebej namenjene izogibanju odkrivanju, kar dokazuje opazno raven prefinjenosti SpikedWine. Šifrira osrednji modul in naslednje module, prenesene s strežnika C2, nize in podatke, poslane in prejete iz C2 — s trdo kodiranim 256-bajtnim ključem RC4.

Zlonamerna programska oprema ob uporabi tudi dešifrira nekatere nize, ki se nato kmalu zatem znova šifrirajo, so povedali raziskovalci. Vključuje tudi pomnilniške medpomnilnike, ki shranjujejo rezultate klicev API-ja, ter zamenja dešifrirane nize z ničlami ​​po uporabi.

Drug pomemben vidik delovanja SpikedWine je, da akter uporablja ogroženo omrežno infrastrukturo na vseh stopnjah verige napada. Natančneje, raziskovalci so identificirali tri ogrožena spletna mesta, ki se uporabljajo za gostovanje vmesnih tovorov ali kot strežnike C2, so povedali.

Zaščita in odkrivanje (kako se izogniti madežem rdečega vina)

Zscaler ThreatLabz je obvestil stike v Nacionalnem centru za informatiko (NIC) v Indiji o zlorabi indijskih vladnih tem v napadu.

Ker se strežnik C2, uporabljen v napadu, ob določenih trenutkih odziva samo na določene vrste zahtev, rešitve za avtomatizirano analizo ne morejo pridobiti odzivov C2 in modularnih koristnih obremenitev za odkrivanje in analizo, so povedali raziskovalci. Za pomoč zagovornikom so v svojo objavo v spletnem dnevniku vključili seznam indikatorjev ogroženosti (IoC) in URL-jev, povezanih z napadom.

Večplastna varnostna platforma v oblaku bi moral zaznati IoC-je, povezane z WineLoaderjem, na različnih ravneh, kot so vse datoteke z imenom grožnje Win64.Downloader.WineLoader, so opozorili raziskovalci.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers