Những kẻ tấn công mạng thu hút các nhà ngoại giao EU bằng những lời mời nếm rượu

Người châu Âu nổi tiếng là thích rượu vang hảo hạng, một đặc điểm văn hóa đã được những kẻ tấn công sử dụng để chống lại họ sau một chiến dịch đe dọa gần đây. Hoạt động mạng nhằm mục đích cung cấp một cửa hậu mới lạ bằng cách dụ dỗ các nhà ngoại giao của Liên minh Châu Âu (EU) bằng một sự kiện thử rượu giả.

Các nhà nghiên cứu tại ThreatLabz của Zscaler đã phát hiện ra chiến dịch này, đặc biệt nhắm mục tiêu vào các quan chức từ các nước EU có cơ quan ngoại giao Ấn Độ, họ viết trong một bài đăng blog được xuất bản vào ngày 27 tháng 2. Nam diễn viên - được mệnh danh thích hợp là “SpikedWine” - đã sử dụng tệp PDF trong email với mục đích là thư mời của đại sứ Ấn Độ, mời các nhà ngoại giao đến một sự kiện thử rượu vào ngày XNUMX tháng XNUMX.

Các nhà nghiên cứu Sudeep Singh và Roy Tay của Zscaler ThreatLabz viết trong bài đăng: “Chúng tôi tin rằng một kẻ đe dọa quốc gia-nhà nước, muốn khai thác mối quan hệ địa chính trị giữa Ấn Độ và các nhà ngoại giao ở các quốc gia châu Âu, đã thực hiện cuộc tấn công này”.

Tải trọng của chiến dịch là một cửa sau mà các nhà nghiên cứu đã gọi là “WineLoader”, có thiết kế mô-đun và sử dụng các kỹ thuật đặc biệt để tránh bị phát hiện. Các nhà nghiên cứu lưu ý rằng chúng bao gồm mã hóa lại và loại bỏ bộ đệm bộ nhớ, nhằm bảo vệ dữ liệu nhạy cảm trong bộ nhớ và tránh các giải pháp điều tra bộ nhớ.

SpikedWine đã sử dụng các trang web bị xâm nhập để ra lệnh và kiểm soát (C2) ở nhiều giai đoạn của chuỗi tấn công, bắt đầu khi nạn nhân nhấp vào liên kết trong tệp PDF và kết thúc bằng việc phân phối mô-đun WineLoader. Các nhà nghiên cứu cho biết, nhìn chung, những kẻ tấn công mạng cho thấy mức độ tinh vi cao cả trong việc tạo ra chiến dịch được thiết kế theo kiểu xã hội và phần mềm độc hại.

SpikedWine mở khóa nhiều giai đoạn tấn công mạng

Zscaler ThreatLabz đã phát hiện ra tệp PDF — lời mời nếm rượu vang được cho là tại dinh thự của đại sứ Ấn Độ — được tải lên VirusTotal từ Latvia vào ngày 30 tháng XNUMX. Những kẻ tấn công đã tạo nội dung một cách cẩn thận để mạo danh đại sứ Ấn Độ và lời mời bao gồm một liên kết độc hại vào một bảng câu hỏi giả với tiền đề là nó phải được điền vào để tham gia.

Nhấp chuột - err, nhấp chuột - vào liên kết sẽ chuyển hướng người dùng đến một trang web bị xâm nhập để tiến hành tải xuống kho lưu trữ zip chứa tệp có tên “wine.hta”. Tệp đã tải xuống chứa mã JavaScript bị xáo trộn sẽ thực thi giai đoạn tiếp theo của cuộc tấn công.

Cuối cùng, tệp thực thi một tệp có tên sqlwriter.exe từ đường dẫn: C:WindowsTasks để bắt đầu chuỗi lây nhiễm cửa sau WineLoader bằng cách tải một DLL độc hại có tên vcruntime140.dll. Điều này lần lượt thực hiện một chức năng xuất khẩu set_se_translator, giải mã mô-đun lõi WineLoader được nhúng trong DLL bằng cách sử dụng khóa RC256 4 byte được mã hóa cứng trước khi thực thi nó.

WineLoader: Phần mềm độc hại cửa sau dạng mô-đun, liên tục

WineLoader có một số mô-đun, mỗi mô-đun bao gồm dữ liệu cấu hình, khóa RC4 và các chuỗi được mã hóa, theo sau là mã mô-đun. Các mô-đun được các nhà nghiên cứu quan sát bao gồm mô-đun cốt lõi và mô-đun kiên trì.

Mô-đun lõi hỗ trợ ba lệnh: thực thi các mô-đun từ máy chủ ra lệnh và điều khiển (C2) một cách đồng bộ hoặc không đồng bộ; việc đưa cửa sau vào một DLL khác; và cập nhật khoảng thời gian ngủ giữa các yêu cầu báo hiệu.

Mô-đun kiên trì nhằm mục đích cho phép cửa sau để tự thực hiện trong những khoảng thời gian nhất định. Nó cũng cung cấp một cấu hình thay thế để thiết lập tính bền vững của sổ đăng ký tại một vị trí khác trên máy được nhắm mục tiêu.

Chiến thuật né tránh của Cyberttacker

Các nhà nghiên cứu cho biết WineLoader có một số chức năng đặc biệt nhằm mục đích tránh bị phát hiện, thể hiện mức độ tinh vi đáng chú ý của SpikedWine. Nó mã hóa mô-đun lõi và các mô-đun tiếp theo được tải xuống từ máy chủ C2, chuỗi cũng như dữ liệu được gửi và nhận từ C2 — bằng khóa RC256 4 byte được mã hóa cứng.

Các nhà nghiên cứu cho biết phần mềm độc hại cũng giải mã một số chuỗi khi sử dụng và sau đó được mã hóa lại ngay sau đó. Và nó bao gồm bộ đệm bộ nhớ lưu trữ kết quả từ lệnh gọi API, cũng như thay thế các chuỗi được giải mã bằng số 0 sau khi sử dụng.

Một khía cạnh đáng chú ý khác về cách thức hoạt động của SpikedWine là kẻ tấn công sử dụng cơ sở hạ tầng mạng bị xâm nhập ở tất cả các giai đoạn của chuỗi tấn công. Cụ thể, các nhà nghiên cứu đã xác định được ba trang web bị xâm nhập được sử dụng để lưu trữ các tải trọng trung gian hoặc làm máy chủ C2.

Bảo vệ & Phát hiện (Cách tránh vết rượu vang đỏ)

Zscaler ThreatLabz đã thông báo cho những người liên hệ tại Trung tâm Tin học Quốc gia (NIC) ở Ấn Độ về việc lạm dụng các chủ đề của chính phủ Ấn Độ trong vụ tấn công.

Các nhà nghiên cứu cho biết, vì máy chủ C2 được sử dụng trong cuộc tấn công chỉ phản hồi các loại yêu cầu cụ thể tại một số thời điểm nhất định nên các giải pháp phân tích tự động không thể truy xuất phản hồi C2 và tải trọng mô-đun để phát hiện và phân tích. Để giúp những người bảo vệ, họ đã đưa vào danh sách các chỉ báo về sự xâm phạm (IoC) và các URL liên quan đến cuộc tấn công trong bài đăng trên blog của họ.

Nhiều lớp nền tảng bảo mật đám mây Các nhà nghiên cứu lưu ý rằng các IoC liên quan đến WineLoader ở nhiều cấp độ khác nhau, chẳng hạn như bất kỳ tệp nào có tên mối đe dọa là Win64.Downloader.WineLoader.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers