เป็นที่รู้กันว่าชาวยุโรปชอบดื่มไวน์ชั้นดี ซึ่งเป็นลักษณะทางวัฒนธรรมที่ผู้โจมตีใช้ต่อต้านพวกเขาซึ่งอยู่เบื้องหลังภัยคุกคามล่าสุด การดำเนินการทางไซเบอร์มีวัตถุประสงค์เพื่อส่งมอบ ประตูหลังนวนิยาย โดยหลอกล่อนักการทูตสหภาพยุโรป (EU) ด้วยกิจกรรมชิมไวน์ปลอม
นักวิจัยจาก ThreatLabz ของ Zscaler ค้นพบการรณรงค์ดังกล่าว ซึ่งมุ่งเป้าไปที่เจ้าหน้าที่จากประเทศในสหภาพยุโรปที่มีภารกิจทางการทูตของอินเดียโดยเฉพาะ ในโพสต์บล็อก เผยแพร่เมื่อวันที่ 27 กุมภาพันธ์ นักแสดงซึ่งมีชื่อเรียกอย่างเหมาะสมว่า “SpikedWine” ใช้ไฟล์ PDF ในอีเมลที่อ้างว่าเป็นจดหมายเชิญจากเอกอัครราชทูตอินเดีย โดยเชิญนักการทูตเข้าร่วมงานชิมไวน์ในวันที่ 2 กุมภาพันธ์
“เราเชื่อว่าผู้คุกคามของรัฐชาติที่สนใจใช้ประโยชน์จากความสัมพันธ์ทางภูมิศาสตร์การเมืองระหว่างอินเดียและนักการทูตในประเทศยุโรปได้ก่อการโจมตีครั้งนี้” นักวิจัยของ Zscaler ThreatLabz Sudeep Singh และ Roy Tay เขียนในโพสต์
เพย์โหลดของแคมเปญคือ ประตูหลัง ที่นักวิจัยเรียกว่า “WineLoader” ซึ่งมีการออกแบบโมดูลาร์และใช้เทคนิคเฉพาะในการหลบเลี่ยงการตรวจจับ ซึ่งรวมถึงการเข้ารหัสซ้ำและการทำให้บัฟเฟอร์หน่วยความจำเป็นศูนย์ ซึ่งทำหน้าที่ปกป้องข้อมูลที่ละเอียดอ่อนในหน่วยความจำและหลบเลี่ยงโซลูชันนิติเวชหน่วยความจำ นักวิจัยตั้งข้อสังเกต
SpikedWine ใช้เว็บไซต์ที่ถูกบุกรุกสำหรับคำสั่งและการควบคุม (C2) ในหลายขั้นตอนของห่วงโซ่การโจมตี ซึ่งเริ่มต้นเมื่อเหยื่อคลิกลิงก์ใน PDF และจบลงด้วยการจัดส่งแบบโมดูลาร์ของ WineLoader โดยรวมแล้ว ผู้โจมตีทางไซเบอร์แสดงให้เห็นถึงความซับซ้อนในระดับสูงทั้งในด้านการสร้างสรรค์แคมเปญที่ออกแบบเพื่อสังคมและมัลแวร์ นักวิจัยกล่าว
SpikedWine เปิดการโจมตีทางไซเบอร์หลายครั้ง
Zscaler ThreatLabz ค้นพบไฟล์ PDF ซึ่งเป็นคำเชิญให้ไปชิมไวน์ที่บ้านพักของเอกอัครราชทูตอินเดีย ซึ่งอัปโหลดไปยัง VirusTotal จากลัตเวียเมื่อวันที่ 30 มกราคม ผู้โจมตีสร้างเนื้อหาอย่างระมัดระวังเพื่อแอบอ้างเป็นเอกอัครราชทูตอินเดีย และคำเชิญมีลิงก์ที่เป็นอันตราย ไปจนถึงแบบสอบถามปลอมโดยมีหลักฐานว่าต้องกรอกจึงจะเข้าร่วมได้
การคลิก - ผิดพลาด - บนลิงก์จะเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่ถูกบุกรุกซึ่งดำเนินการดาวน์โหลดไฟล์ zip ที่มีไฟล์ชื่อ "wine.hta" ไฟล์ที่ดาวน์โหลดมีโค้ด JavaScript ที่สร้างความสับสนซึ่งจะดำเนินการในขั้นตอนต่อไปของการโจมตี
ในที่สุด ไฟล์ดังกล่าวจะรันไฟล์ชื่อ sqlwriter.exe จากพาธ: C:WindowsTasks เพื่อเริ่มห่วงโซ่การติดไวรัสแบ็คดอร์ของ WineLoader โดยการโหลด DLL ที่เป็นอันตรายชื่อ vcruntime140.dll สิ่งนี้จะเรียกใช้ฟังก์ชันที่ส่งออก set_se_translatorซึ่งจะถอดรหัสโมดูลหลัก WineLoader ที่ฝังอยู่ภายใน DLL โดยใช้คีย์ RC256 4 ไบต์แบบฮาร์ดโค้ดก่อนดำเนินการ
WineLoader: มัลแวร์แบ็คดอร์แบบแยกส่วนและถาวร
WineLoader มีหลายโมดูล ซึ่งแต่ละโมดูลประกอบด้วยข้อมูลการกำหนดค่า คีย์ RC4 และสตริงที่เข้ารหัส ตามด้วยโค้ดของโมดูล โมดูลที่นักวิจัยสังเกต ได้แก่ โมดูลหลักและโมดูลการคงอยู่
โมดูลหลักรองรับสามคำสั่ง: การดำเนินการโมดูลจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบซิงโครนัสหรือแบบอะซิงโครนัส การฉีดแบ็คดอร์เข้าไปใน DLL อื่น และการอัปเดตช่วงเวลาพักระหว่างคำขอบีคอน
โมดูลการคงอยู่มีจุดมุ่งหมายเพื่อให้ ประตูหลัง เพื่อดำเนินการเองในช่วงเวลาหนึ่ง นอกจากนี้ยังมีการกำหนดค่าอื่นเพื่อสร้างการคงอยู่ของรีจิสทรีที่ตำแหน่งอื่นบนเครื่องเป้าหมาย
กลยุทธ์การหลบเลี่ยงของ Cyberttacker
WineLoader มีฟังก์ชันมากมายที่มุ่งเป้าไปที่การหลบเลี่ยงการตรวจจับโดยเฉพาะ ซึ่งแสดงให้เห็นถึงระดับความซับซ้อนที่โดดเด่นของ SpikedWine นักวิจัยกล่าว โดยจะเข้ารหัสโมดูลหลักและโมดูลต่อมาที่ดาวน์โหลดจากเซิร์ฟเวอร์ C2 สตริง และข้อมูลที่ส่งและรับจาก C2 ด้วยคีย์ RC256 4 ไบต์แบบฮาร์ดโค้ด
มัลแวร์ยังถอดรหัสสตริงบางส่วนที่ใช้งานซึ่งจะถูกเข้ารหัสอีกครั้งหลังจากนั้นไม่นาน นักวิจัยกล่าว และยังมีบัฟเฟอร์หน่วยความจำที่เก็บผลลัพธ์จากการเรียก API รวมถึงการแทนที่สตริงที่ถอดรหัสด้วยเลขศูนย์หลังการใช้งาน
ลักษณะเด่นอีกประการหนึ่งของวิธีการทำงานของ SpikedWine คือนักแสดงใช้โครงสร้างพื้นฐานเครือข่ายที่ถูกบุกรุกในทุกขั้นตอนของห่วงโซ่การโจมตี โดยเฉพาะอย่างยิ่ง นักวิจัยระบุเว็บไซต์ที่ถูกบุกรุก 2 แห่งซึ่งใช้สำหรับโฮสต์เพย์โหลดระดับกลางหรือเป็นเซิร์ฟเวอร์ CXNUMX พวกเขากล่าว
การป้องกันและการตรวจจับ (วิธีหลีกเลี่ยงคราบไวน์แดง)
Zscaler ThreatLabz ได้แจ้งผู้ติดต่อที่ศูนย์สารสนเทศแห่งชาติ (NIC) ในอินเดียเกี่ยวกับการละเมิดธีมของรัฐบาลอินเดียในการโจมตี
เนื่องจากเซิร์ฟเวอร์ C2 ที่ใช้ในการโจมตีตอบสนองเฉพาะคำขอบางประเภทในช่วงเวลาหนึ่งเท่านั้น โซลูชันการวิเคราะห์อัตโนมัติจึงไม่สามารถดึงการตอบสนองของ C2 และเพย์โหลดแบบโมดูลาร์สำหรับการตรวจจับและการวิเคราะห์ได้ นักวิจัยกล่าว เพื่อช่วยเหลือผู้พิทักษ์ พวกเขาได้รวมรายการตัวบ่งชี้การประนีประนอม (IoC) และ URL ที่เกี่ยวข้องกับการโจมตีไว้ในบล็อกโพสต์
แบบหลายชั้น แพลตฟอร์มความปลอดภัยบนคลาวด์ ควรตรวจจับ IoC ที่เกี่ยวข้องกับ WineLoader ในระดับต่างๆ เช่น ไฟล์ใดๆ ที่มีชื่อภัยคุกคาม Win64.Downloader.WineLoader นักวิจัยตั้งข้อสังเกต
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers
- :มี
- :เป็น
- 27
- 30
- 7
- a
- เกี่ยวกับเรา
- การล่วงละเมิด
- หลังจาก
- กับ
- มีวัตถุประสงค์เพื่อ
- ทั้งหมด
- การอนุญาต
- ด้วย
- ทางเลือก
- เอกอัครราชทูต
- an
- การวิเคราะห์
- และ
- อื่น
- ใด
- API
- อย่างเหมาะสม
- เอกสารเก่า
- เป็น
- AS
- แง่มุม
- ที่เกี่ยวข้อง
- At
- โจมตี
- อัตโนมัติ
- หลีกเลี่ยง
- ประตูหลัง
- BE
- กระโจมไฟ
- รับ
- ก่อน
- หลัง
- เชื่อ
- ระหว่าง
- บล็อก
- ทั้งสอง
- by
- ที่เรียกว่า
- โทร
- รณรงค์
- ไม่ได้
- รอบคอบ
- ดำเนินการ
- ศูนย์
- บาง
- โซ่
- ลักษณะเฉพาะ
- รหัส
- การประนีประนอม
- ที่ถูกบุกรุก
- องค์ประกอบ
- ประกอบ
- รายชื่อผู้ติดต่อ
- มี
- เนื้อหา
- แกน
- ประเทศ
- ที่สร้างขึ้น
- ความคิดสร้างสรรค์
- ด้านวัฒนธรรม
- ไซเบอร์
- cyberattack
- ข้อมูล
- Defenders
- ส่งมอบ
- การจัดส่ง
- แสดงให้เห็นถึง
- ออกแบบ
- ตรวจจับ
- การตรวจพบ
- นักการทูต
- ค้นพบ
- ดาวน์โหลด
- ขนานนามว่า
- แต่ละ
- ทั้ง
- อีเมล
- ที่ฝัง
- พนักงาน
- ที่มีการเข้ารหัส
- สิ้นสุด
- วิศวกรรม
- เพลิดเพลิน
- สร้าง
- EU
- ในทวีปยุโรป
- สหภาพยุโรป
- สหภาพยุโรป (EU)
- หลบเลี่ยง
- เหตุการณ์
- ดำเนินการ
- รัน
- การดำเนินงาน
- การปฏิบัติ
- การใช้ประโยชน์จาก
- เทียม
- กุมภาพันธ์
- เนื้อไม่มีมัน
- ไฟล์
- ที่เต็มไป
- ปลาย
- ตาม
- สำหรับ
- นิติ
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ฟังก์ชั่น
- ภูมิศาสตร์การเมือง
- รัฐบาล
- ยาม
- มี
- ช่วย
- จุดสูง
- โฮสติ้ง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ระบุ
- ปลอมตัว
- in
- ประกอบด้วย
- รวม
- รวมถึง
- อินเดีย
- ชาวอินเดีย
- รัฐบาลอินเดีย
- ตัวชี้วัด
- โครงสร้างพื้นฐาน
- สนใจ
- เข้าไป
- คำเชิญ
- เชิญ
- ดึงดูดใจ
- IT
- ตัวเอง
- แจน
- JavaScript
- คีย์
- ที่รู้จักกัน
- ลัตเวีย
- จดหมาย
- ชั้น
- ระดับ
- LINK
- รายการ
- โหลด
- ที่ตั้ง
- เครื่อง
- ที่เป็นอันตราย
- มัลแวร์
- หน่วยความจำ
- ภารกิจ
- โมดูลาร์
- โมดูล
- โมดูล
- หลายชั้น
- หลาย
- ต้อง
- ชื่อ
- ที่มีชื่อ
- แห่งชาติ
- เนชั่น
- เครือข่าย
- ถัดไป
- โดดเด่น
- เด่น
- จำนวน
- of
- เสนอ
- เจ้าหน้าที่
- on
- เพียง
- ดำเนินการ
- การดำเนินการ
- or
- ใบสั่ง
- ออก
- ทั้งหมด
- มีส่วนร่วม
- เส้นทาง
- รูปแบบไฟล์ PDF
- วิริยะ
- ขั้นตอน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โพสต์
- เงินที่ได้
- การป้องกัน
- การตีพิมพ์
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- สีแดง
- รีจิสทรี
- ที่เกี่ยวข้อง
- ความสัมพันธ์
- การร้องขอ
- นักวิจัย
- การอยู่อาศัย
- การตอบสนอง
- ผลสอบ
- รอย
- s
- กล่าวว่า
- ความปลอดภัย
- มีความละเอียดอ่อน
- ส่ง
- ให้บริการ
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- หลาย
- ในไม่ช้า
- น่า
- แสดงให้เห็นว่า
- เว็บไซต์
- นอนหลับ
- สังคม
- โซลูชัน
- บาง
- ความซับซ้อน
- โดยเฉพาะ
- เฉพาะ
- ผู้ให้การสนับสนุน
- ระยะ
- ขั้นตอน
- เริ่มต้น
- เริ่มต้น
- จัดเก็บ
- ภายหลัง
- อย่างเช่น
- รองรับ
- กลยุทธ์
- เป้าหมาย
- Tay
- เทคนิค
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ธีม
- แล้วก็
- พวกเขา
- นี้
- เหล่านั้น
- การคุกคาม
- สาม
- ครั้ง
- ไปยัง
- กลับ
- ชนิด
- ภายใต้
- สหภาพ
- การปรับปรุง
- อัปโหลด
- ใช้
- มือสอง
- ผู้ใช้
- ใช้
- การใช้
- ต่างๆ
- เหยื่อ
- we
- เว็บไซต์
- ดี
- เมื่อ
- ที่
- ไวน์
- กับ
- ภายใน
- เขียน
- ลมทะเล
- รหัสไปรษณีย์