Cyberattackare lockar EU-diplomater med vinprovningserbjudanden

Européer är kända för att njuta av utsökt vin, en kulturell egenskap som har använts mot dem av angripare bakom en hotkampanj nyligen. Cyberoperationen syftade till att leverera en ny bakdörr genom att locka EU-diplomater med ett falskt vinprovningsevenemang.

Forskare vid Zscalers ThreatLabz upptäckte kampanjen, som specifikt riktade sig till tjänstemän från EU-länder med indiska diplomatiska beskickningar, skrev de i ett blogginlägg publicerad 27 februari. Skådespelaren – på lämpligt sätt kallad "SpikedWine" – använde en PDF-fil i e-postmeddelanden som påstods vara ett inbjudningsbrev från Indiens ambassadör, som bjöd in diplomater till ett vinprovningsevenemang den 2 februari.

"Vi tror att en hotaktör från en nationalstat, intresserad av att utnyttja de geopolitiska relationerna mellan Indien och diplomater i europeiska länder, utförde denna attack", skrev Zscaler ThreatLabz-forskarna Sudeep Singh och Roy Tay i inlägget.

Kampanjens nyttolast är en bakdörr som forskare har kallat "WineLoader", som har en modulär design och använder tekniker specifikt för att undvika upptäckt. Dessa inkluderar omkryptering och nollställning av minnesbuffertar, som tjänar till att skydda känsliga data i minnet och undvika minnestekniska lösningar, noterade forskarna.

SpikedWine använde komprometterade webbplatser för kommando-och-kontroll (C2) i flera stadier av attackkedjan, som börjar när ett offer klickar på en länk i PDF-filen och slutar med den modulära leveransen av WineLoader. Sammantaget visade cyberattackarna en hög nivå av sofistikering både i det kreativa utformningen av den socialt utformade kampanjen och skadlig programvara, sa forskarna.

SpikedWine tar bort flera cyberattackfaser

Zscaler ThreatLabz upptäckte PDF-filen – inbjudan till en påstådd vinprovning i den indiska ambassadörens bostad – som laddades upp till VirusTotal från Lettland den 30 januari. Angripare skapade innehållet noggrant för att imitera Indiens ambassadör, och inbjudan innehåller en skadlig länk till ett falskt frågeformulär under förutsättningen att det måste fyllas i för att kunna delta.

Att klirra - fel, klicka - på länken omdirigerar användare till en utsatt webbplats som fortsätter att ladda ner ett zip-arkiv som innehåller en fil som heter "wine.hta." Den nedladdade filen innehåller obfuskerad JavaScript-kod som exekverar nästa steg av attacken.

Så småningom kör filen en fil med namnet sqlwriter.exe från sökvägen: C:WindowsTasks för att starta WineLoader-bakdörrsinfektionskedjan genom att ladda en skadlig DLL som heter vcruntime140.dll. Detta utför i sin tur en exporterad funktion set_se_translator, som dekrypterar den inbäddade WineLoader-kärnmodulen i DLL:n med en hårdkodad 256-byte RC4-nyckel innan den körs.

WineLoader: Modulär, ihållande bakdörrsmalware

WineLoader har flera moduler, som var och en består av konfigurationsdata, en RC4-nyckel och krypterade strängar, följt av modulkoden. De moduler som forskarna observerar inkluderar en kärnmodul och en uthållighetsmodul.

Kärnmodulen stöder tre kommandon: exekvering av moduler från kommando-och-kontrollservern (C2) antingen synkront eller asynkront; injiceringen av bakdörren i en annan DLL; och uppdateringen av vilointervallet mellan beacon-förfrågningar.

Uthållighetsmodulen syftar till att tillåta bakdörren att utföra sig själv med vissa intervaller. Det erbjuder också en alternativ konfiguration för att etablera registerbeständighet på en annan plats på en målmaskin.

Cybertackers undvikande taktik

WineLoader har ett antal funktioner specifikt inriktade på att undvika upptäckt, vilket visar en anmärkningsvärd nivå av sofistikering av SpikedWine, sa forskarna. Den krypterar kärnmodulen och efterföljande moduler som laddas ner från C2-servern, strängar och data som skickas och tas emot från C2 — med en hårdkodad 256-byte RC4-nyckel.

Skadlig programvara dekrypterar också några strängar vid användning som sedan omkrypteras kort efter, sa forskarna. Och det inkluderar minnesbuffertar som lagrar resultat från API-anrop, samt ersätter dekrypterade strängar med nollor efter användning.

En annan anmärkningsvärd aspekt av hur SpikedWine fungerar är att skådespelaren använder komprometterad nätverksinfrastruktur i alla stadier av attackkedjan. Specifikt identifierade forskarna tre komprometterade webbplatser som används för att vara värd för mellanliggande nyttolaster eller som C2-servrar, sa de.

Skydd och upptäckt (hur man undviker rödvinsfläckar)

Zscaler ThreatLabz har meddelat kontakter vid National Informatics Center (NIC) i Indien om missbruket av indiska regeringsteman i attacken.

Eftersom C2-servern som används i attacken endast svarar på specifika typer av förfrågningar vid vissa tidpunkter, kan automatiserade analyslösningar inte hämta C2-svar och modulära nyttolaster för upptäckt och analys, sa forskarna. För att hjälpa försvarare inkluderade de en lista med indikatorer på kompromiss (IoC) och webbadresser associerade med attacken i sitt blogginlägg.

En flerskiktad molnsäkerhetsplattform bör upptäcka IoCs relaterade till WineLoader på olika nivåer, såsom alla filer med hotnamnet Win64.Downloader.WineLoader, noterade forskarna.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers