سائبر حملہ کرنے والے یورپی یونین کے سفارت کاروں کو شراب چکھنے کی پیشکش کے ساتھ آمادہ کرتے ہیں۔

یورپی باشندے عمدہ شراب سے لطف اندوز ہونے کے لیے جانے جاتے ہیں، یہ ایک ثقافتی خصوصیت ہے جسے حالیہ خطرے کی مہم کے پیچھے حملہ آوروں نے ان کے خلاف استعمال کیا ہے۔ سائبر آپریشن کا مقصد a ناول بیک ڈور یوروپی یونین (EU) کے سفارت کاروں کو شراب چکھنے کے جعلی پروگرام کے ذریعے راغب کر کے۔

Zscaler's ThreatLabz کے محققین نے اس مہم کو دریافت کیا، جس میں خاص طور پر ہندوستانی سفارتی مشن کے ساتھ یورپی یونین کے ممالک کے عہدیداروں کو نشانہ بنایا گیا تھا۔ ایک بلاگ پوسٹ میں 27 فروری کو شائع ہوا۔ اداکار نے - جسے مناسب طور پر "SpikedWine" کہا جاتا ہے - نے ای میلز میں ایک پی ڈی ایف فائل کا استعمال کیا جس میں ہندوستان کے سفیر کی طرف سے ایک دعوت نامہ لکھا گیا تھا، جس میں سفارت کاروں کو 2 فروری کو شراب چکھنے کی تقریب میں مدعو کیا گیا تھا۔

Zscaler ThreatLabz کے محققین سدیپ سنگھ اور رائے ٹائی نے پوسٹ میں لکھا، "ہم سمجھتے ہیں کہ ایک قومی ریاست کے خطرے والے اداکار، جو ہندوستان اور یورپی ممالک میں سفارت کاروں کے درمیان جغرافیائی سیاسی تعلقات سے فائدہ اٹھانے میں دلچسپی رکھتا ہے، نے یہ حملہ کیا۔"

مہم کا پے لوڈ a ہے۔ پچھلے دروازے جسے محققین نے "وائن لوڈر" کہا ہے، جس کا ماڈیولر ڈیزائن ہے اور خاص طور پر پتہ لگانے سے بچنے کے لیے تکنیک استعمال کرتا ہے۔ محققین نے نوٹ کیا کہ ان میں دوبارہ انکرپشن اور میموری بفرز کو صفر کرنا شامل ہے، جو میموری میں حساس ڈیٹا کی حفاظت اور میموری فرانزک حل سے بچنے کا کام کرتے ہیں۔

SpikedWine نے اٹیک چین کے متعدد مراحل پر کمانڈ اینڈ کنٹرول (C2) کے لیے سمجھوتہ شدہ ویب سائٹس کا استعمال کیا، جو اس وقت شروع ہوتی ہے جب کوئی شکار پی ڈی ایف میں کسی لنک پر کلک کرتا ہے اور وائن لوڈر کی ماڈیولر ڈیلیوری کے ساتھ ختم ہوتا ہے۔ محققین نے کہا کہ مجموعی طور پر، سائبر حملہ آوروں نے سماجی طور پر انجنیئر کردہ مہم اور مالویئر کی تخلیقی دستکاری دونوں میں اعلیٰ سطحی نفاست کا مظاہرہ کیا۔

SpikedWine Uncorks متعدد سائبر حملے کے مراحل

Zscaler ThreatLabz نے پی ڈی ایف فائل دریافت کی — جو ہندوستانی سفیر کی رہائش گاہ پر مبینہ طور پر شراب چکھنے کا دعوت نامہ — 30 جنوری کو لٹویا سے VirusTotal پر اپ لوڈ کیا گیا تھا۔ حملہ آوروں نے ہندوستان کے سفیر کی نقالی کرنے کے لیے مواد کو احتیاط سے تیار کیا، اور دعوت نامے میں ایک لنک بھی شامل ہے۔ فرضی سوالنامے کو اس بنیاد کے تحت کہ حصہ لینے کے لیے اسے پُر کرنا ضروری ہے۔

لنک پر کلک کرنا — غلطی، کلک کرنا — صارفین کو ایک سمجھوتہ شدہ سائٹ پر بھیجتا ہے جو "wine.hta" نامی فائل پر مشتمل ایک زپ آرکائیو ڈاؤن لوڈ کرنے کے لیے آگے بڑھتا ہے۔ ڈاؤن لوڈ کی گئی فائل میں مبہم جاوا اسکرپٹ کوڈ ہے جو حملے کے اگلے مرحلے کو انجام دیتا ہے۔

آخر کار، فائل sqlwriter.exe نامی فائل کو اس راستے سے چلاتی ہے: C:WindowsTasks vcruntime140.dll نامی نقصان دہ DLL لوڈ کرکے وائن لوڈر بیک ڈور انفیکشن چین کو شروع کرنے کے لیے۔ یہ بدلے میں ایک برآمد شدہ فنکشن کو انجام دیتا ہے۔ set_se_translator، جو DLL کے اندر ایمبیڈڈ WineLoader کور ماڈیول کو ایک ہارڈ کوڈ شدہ 256-بائٹ RC4 کلید استعمال کرنے سے پہلے ڈیکرپٹ کرتا ہے۔

وائن لوڈر: ماڈیولر، مسلسل بیک ڈور میلویئر

وائن لوڈر میں کئی ماڈیولز ہیں، جن میں سے ہر ایک کنفیگریشن ڈیٹا، ایک RC4 کلید، اور انکرپٹڈ سٹرنگز پر مشتمل ہے، جس کے بعد ماڈیول کوڈ آتا ہے۔ محققین کے ذریعہ مشاہدہ کردہ ماڈیولز میں ایک بنیادی ماڈیول اور ایک مستقل ماڈیول شامل ہیں۔

بنیادی ماڈیول تین کمانڈز کو سپورٹ کرتا ہے: کمانڈ اینڈ کنٹرول سرور (C2) سے ماڈیولز کا عمل یا تو ہم وقت سازی یا غیر مطابقت پذیر طور پر؛ ایک اور DLL میں بیک ڈور کا انجکشن؛ اور بیکن کی درخواستوں کے درمیان نیند کے وقفے کو اپ ڈیٹ کرنا۔

استقامت ماڈیول کا مقصد اجازت دینا ہے۔ پچھلے دروازے کچھ وقفوں پر خود کو انجام دینے کے لئے. یہ ٹارگٹڈ مشین پر کسی دوسرے مقام پر رجسٹری استقامت قائم کرنے کے لیے ایک متبادل کنفیگریشن بھی پیش کرتا ہے۔

سائبر ٹیکر کی مبہم حکمت عملی

محققین نے کہا کہ وائن لوڈر کے متعدد فنکشنز ہیں جن کا مقصد خاص طور پر پتہ لگانے سے بچنا ہے، جس سے SpikedWine کی طرف سے قابل ذکر سطح کی نفاست کا مظاہرہ کرنا ہے۔ یہ C2 سرور سے ڈاؤن لوڈ کردہ بنیادی ماڈیول اور بعد میں آنے والے ماڈیولز، سٹرنگز، اور C2 سے بھیجے اور موصول ہونے والے ڈیٹا کو خفیہ کرتا ہے — ایک ہارڈ کوڈ شدہ 256 بائٹ RC4 کلید کے ساتھ۔

محققین نے کہا کہ مالویئر استعمال پر کچھ تاروں کو بھی ڈکرپٹ کرتا ہے جو کہ تھوڑی دیر بعد دوبارہ انکرپٹ ہو جاتا ہے۔ اور اس میں میموری بفرز شامل ہیں جو API کالز کے نتائج کو اسٹور کرتے ہیں، اور ساتھ ہی استعمال کے بعد ڈیکرپٹ شدہ تاروں کو زیرو سے بدل دیتے ہیں۔

SpikedWine کس طرح کام کرتا ہے اس کا ایک اور قابل ذکر پہلو یہ ہے کہ اداکار حملے کے سلسلہ کے تمام مراحل پر سمجھوتہ شدہ نیٹ ورک انفراسٹرکچر استعمال کرتا ہے۔ خاص طور پر، محققین نے تین سمجھوتہ شدہ ویب سائٹس کی نشاندہی کی جو انٹرمیڈیٹ پے لوڈز کی میزبانی کے لیے یا C2 سرورز کے طور پر استعمال ہوتی ہیں۔

تحفظ اور پتہ لگانا (سرخ شراب کے داغوں سے کیسے بچیں)

Zscaler ThreatLabz نے بھارت میں نیشنل انفارمیٹکس سنٹر (NIC) کے رابطوں کو اس حملے میں بھارتی حکومت کے موضوعات کے غلط استعمال کے بارے میں مطلع کیا ہے۔

جیسا کہ حملے میں استعمال ہونے والا C2 سرور صرف مخصوص اوقات میں مخصوص قسم کی درخواستوں کا جواب دیتا ہے، خودکار تجزیہ حل C2 کے جوابات اور ماڈیولر پے لوڈز کا پتہ لگانے اور تجزیہ کرنے کے لیے بازیافت نہیں کر سکتے، محققین نے کہا۔ محافظوں کی مدد کے لیے، انھوں نے اپنی بلاگ پوسٹ میں حملے سے وابستہ سمجھوتہ کے اشارے (IoCs) اور URLs کی فہرست شامل کی۔

کثیر پرت والا کلاؤڈ سیکیورٹی پلیٹ فارم محققین نے نوٹ کیا کہ مختلف سطحوں پر وائن لوڈر سے متعلق آئی او سی کا پتہ لگانا چاہیے، جیسے کہ خطرے کے نام والی کوئی بھی فائل، Win64.Downloader.WineLoader۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers