ผู้โจมตีทางไซเบอร์ล่อลวงนักการทูตสหภาพยุโรปด้วยข้อเสนอชิมไวน์

เป็นที่รู้กันว่าชาวยุโรปชอบดื่มไวน์ชั้นดี ซึ่งเป็นลักษณะทางวัฒนธรรมที่ผู้โจมตีใช้ต่อต้านพวกเขาซึ่งอยู่เบื้องหลังภัยคุกคามล่าสุด การดำเนินการทางไซเบอร์มีวัตถุประสงค์เพื่อส่งมอบ ประตูหลังนวนิยาย โดยหลอกล่อนักการทูตสหภาพยุโรป (EU) ด้วยกิจกรรมชิมไวน์ปลอม

นักวิจัยจาก ThreatLabz ของ Zscaler ค้นพบการรณรงค์ดังกล่าว ซึ่งมุ่งเป้าไปที่เจ้าหน้าที่จากประเทศในสหภาพยุโรปที่มีภารกิจทางการทูตของอินเดียโดยเฉพาะ ในโพสต์บล็อก เผยแพร่เมื่อวันที่ 27 กุมภาพันธ์ นักแสดงซึ่งมีชื่อเรียกอย่างเหมาะสมว่า “SpikedWine” ใช้ไฟล์ PDF ในอีเมลที่อ้างว่าเป็นจดหมายเชิญจากเอกอัครราชทูตอินเดีย โดยเชิญนักการทูตเข้าร่วมงานชิมไวน์ในวันที่ 2 กุมภาพันธ์

“เราเชื่อว่าผู้คุกคามของรัฐชาติที่สนใจใช้ประโยชน์จากความสัมพันธ์ทางภูมิศาสตร์การเมืองระหว่างอินเดียและนักการทูตในประเทศยุโรปได้ก่อการโจมตีครั้งนี้” นักวิจัยของ Zscaler ThreatLabz Sudeep Singh และ Roy Tay เขียนในโพสต์

เพย์โหลดของแคมเปญคือ ประตูหลัง ที่นักวิจัยเรียกว่า “WineLoader” ซึ่งมีการออกแบบโมดูลาร์และใช้เทคนิคเฉพาะในการหลบเลี่ยงการตรวจจับ ซึ่งรวมถึงการเข้ารหัสซ้ำและการทำให้บัฟเฟอร์หน่วยความจำเป็นศูนย์ ซึ่งทำหน้าที่ปกป้องข้อมูลที่ละเอียดอ่อนในหน่วยความจำและหลบเลี่ยงโซลูชันนิติเวชหน่วยความจำ นักวิจัยตั้งข้อสังเกต

SpikedWine ใช้เว็บไซต์ที่ถูกบุกรุกสำหรับคำสั่งและการควบคุม (C2) ในหลายขั้นตอนของห่วงโซ่การโจมตี ซึ่งเริ่มต้นเมื่อเหยื่อคลิกลิงก์ใน PDF และจบลงด้วยการจัดส่งแบบโมดูลาร์ของ WineLoader โดยรวมแล้ว ผู้โจมตีทางไซเบอร์แสดงให้เห็นถึงความซับซ้อนในระดับสูงทั้งในด้านการสร้างสรรค์แคมเปญที่ออกแบบเพื่อสังคมและมัลแวร์ นักวิจัยกล่าว

SpikedWine เปิดการโจมตีทางไซเบอร์หลายครั้ง

Zscaler ThreatLabz ค้นพบไฟล์ PDF ซึ่งเป็นคำเชิญให้ไปชิมไวน์ที่บ้านพักของเอกอัครราชทูตอินเดีย ซึ่งอัปโหลดไปยัง VirusTotal จากลัตเวียเมื่อวันที่ 30 มกราคม ผู้โจมตีสร้างเนื้อหาอย่างระมัดระวังเพื่อแอบอ้างเป็นเอกอัครราชทูตอินเดีย และคำเชิญมีลิงก์ที่เป็นอันตราย ไปจนถึงแบบสอบถามปลอมโดยมีหลักฐานว่าต้องกรอกจึงจะเข้าร่วมได้

การคลิก - ผิดพลาด - บนลิงก์จะเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่ถูกบุกรุกซึ่งดำเนินการดาวน์โหลดไฟล์ zip ที่มีไฟล์ชื่อ "wine.hta" ไฟล์ที่ดาวน์โหลดมีโค้ด JavaScript ที่สร้างความสับสนซึ่งจะดำเนินการในขั้นตอนต่อไปของการโจมตี

ในที่สุด ไฟล์ดังกล่าวจะรันไฟล์ชื่อ sqlwriter.exe จากพาธ: C:WindowsTasks เพื่อเริ่มห่วงโซ่การติดไวรัสแบ็คดอร์ของ WineLoader โดยการโหลด DLL ที่เป็นอันตรายชื่อ vcruntime140.dll สิ่งนี้จะเรียกใช้ฟังก์ชันที่ส่งออก set_se_translatorซึ่งจะถอดรหัสโมดูลหลัก WineLoader ที่ฝังอยู่ภายใน DLL โดยใช้คีย์ RC256 4 ไบต์แบบฮาร์ดโค้ดก่อนดำเนินการ

WineLoader: มัลแวร์แบ็คดอร์แบบแยกส่วนและถาวร

WineLoader มีหลายโมดูล ซึ่งแต่ละโมดูลประกอบด้วยข้อมูลการกำหนดค่า คีย์ RC4 และสตริงที่เข้ารหัส ตามด้วยโค้ดของโมดูล โมดูลที่นักวิจัยสังเกต ได้แก่ โมดูลหลักและโมดูลการคงอยู่

โมดูลหลักรองรับสามคำสั่ง: การดำเนินการโมดูลจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบซิงโครนัสหรือแบบอะซิงโครนัส การฉีดแบ็คดอร์เข้าไปใน DLL อื่น และการอัปเดตช่วงเวลาพักระหว่างคำขอบีคอน

โมดูลการคงอยู่มีจุดมุ่งหมายเพื่อให้ ประตูหลัง เพื่อดำเนินการเองในช่วงเวลาหนึ่ง นอกจากนี้ยังมีการกำหนดค่าอื่นเพื่อสร้างการคงอยู่ของรีจิสทรีที่ตำแหน่งอื่นบนเครื่องเป้าหมาย

กลยุทธ์การหลบเลี่ยงของ Cyberttacker

WineLoader มีฟังก์ชันมากมายที่มุ่งเป้าไปที่การหลบเลี่ยงการตรวจจับโดยเฉพาะ ซึ่งแสดงให้เห็นถึงระดับความซับซ้อนที่โดดเด่นของ SpikedWine นักวิจัยกล่าว โดยจะเข้ารหัสโมดูลหลักและโมดูลต่อมาที่ดาวน์โหลดจากเซิร์ฟเวอร์ C2 สตริง และข้อมูลที่ส่งและรับจาก C2 ด้วยคีย์ RC256 4 ไบต์แบบฮาร์ดโค้ด

มัลแวร์ยังถอดรหัสสตริงบางส่วนที่ใช้งานซึ่งจะถูกเข้ารหัสอีกครั้งหลังจากนั้นไม่นาน นักวิจัยกล่าว และยังมีบัฟเฟอร์หน่วยความจำที่เก็บผลลัพธ์จากการเรียก API รวมถึงการแทนที่สตริงที่ถอดรหัสด้วยเลขศูนย์หลังการใช้งาน

ลักษณะเด่นอีกประการหนึ่งของวิธีการทำงานของ SpikedWine คือนักแสดงใช้โครงสร้างพื้นฐานเครือข่ายที่ถูกบุกรุกในทุกขั้นตอนของห่วงโซ่การโจมตี โดยเฉพาะอย่างยิ่ง นักวิจัยระบุเว็บไซต์ที่ถูกบุกรุก 2 แห่งซึ่งใช้สำหรับโฮสต์เพย์โหลดระดับกลางหรือเป็นเซิร์ฟเวอร์ CXNUMX พวกเขากล่าว

การป้องกันและการตรวจจับ (วิธีหลีกเลี่ยงคราบไวน์แดง)

Zscaler ThreatLabz ได้แจ้งผู้ติดต่อที่ศูนย์สารสนเทศแห่งชาติ (NIC) ในอินเดียเกี่ยวกับการละเมิดธีมของรัฐบาลอินเดียในการโจมตี

เนื่องจากเซิร์ฟเวอร์ C2 ที่ใช้ในการโจมตีตอบสนองเฉพาะคำขอบางประเภทในช่วงเวลาหนึ่งเท่านั้น โซลูชันการวิเคราะห์อัตโนมัติจึงไม่สามารถดึงการตอบสนองของ C2 และเพย์โหลดแบบโมดูลาร์สำหรับการตรวจจับและการวิเคราะห์ได้ นักวิจัยกล่าว เพื่อช่วยเหลือผู้พิทักษ์ พวกเขาได้รวมรายการตัวบ่งชี้การประนีประนอม (IoC) และ URL ที่เกี่ยวข้องกับการโจมตีไว้ในบล็อกโพสต์

แบบหลายชั้น แพลตฟอร์มความปลอดภัยบนคลาวด์ ควรตรวจจับ IoC ที่เกี่ยวข้องกับ WineLoader ในระดับต่างๆ เช่น ไฟล์ใดๆ ที่มีชื่อภัยคุกคาม Win64.Downloader.WineLoader นักวิจัยตั้งข้อสังเกต

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers