众所周知,欧洲人喜欢美酒,这一文化特征在最近的威胁活动中被攻击者用来对付他们。此次网络行动旨在提供 小说后门 通过举办虚假的品酒活动来引诱欧盟 (EU) 外交官。
Zscaler 旗下 ThreatLabz 的研究人员发现了该活动,该活动专门针对驻印度外交使团的欧盟国家官员,他们写道 在一篇博客文章 27 月 2 日发布。这位被恰当地称为“SpikedWine”的演员在电子邮件中使用了一个 PDF 文件,声称是印度大使的邀请函,邀请外交官参加 XNUMX 月 XNUMX 日举行的品酒活动。
Zscaler ThreatLabz 的研究人员苏迪普·辛格 (Sudeep Singh) 和罗伊·泰 (Roy Tay) 在帖子中写道:“我们认为,是一个民族国家威胁行为体有意利用印度与欧洲国家外交官之间的地缘政治关系,实施了这次攻击。”
该活动的有效负载是 后门 研究人员将其称为“WineLoader”,它采用模块化设计,并采用专门逃避检测的技术。研究人员指出,其中包括重新加密和清零内存缓冲区,这有助于保护内存中的敏感数据并逃避内存取证解决方案。
SpikedWine 在攻击链的多个阶段使用受感染的网站进行命令和控制 (C2),攻击链从受害者单击 PDF 中的链接开始,到 WineLoader 的模块化交付结束。研究人员表示,总体而言,网络攻击者在社交工程活动和恶意软件的创意设计方面都表现出了高度的复杂性。
SpikedWine 破解多个网络攻击阶段
Zscaler ThreatLabz 发现了 PDF 文件——据称是印度大使官邸品酒邀请函——于 30 月 XNUMX 日从拉脱维亚上传到 VirusTotal。攻击者精心制作了内容来冒充印度大使,邀请函中包含恶意链接假问卷,前提是必须填写才能参与。
单击该链接会将用户重定向到受感染的网站,该网站将继续下载包含名为“wine.hta”的文件的 zip 存档。下载的文件包含执行下一阶段攻击的模糊 JavaScript 代码。
最终,该文件从路径:C:WindowsTasks执行名为sqlwriter.exe的文件,通过加载名为vcruntime140.dll的恶意DLL来启动WineLoader后门感染链。这又执行导出的函数 设置_se_翻译器,它在执行之前使用硬编码的 256 字节 RC4 密钥解密 DLL 中的嵌入式 WineLoader 核心模块。
WineLoader:模块化、持久性后门恶意软件
WineLoader 有几个模块,每个模块都由配置数据、RC4 密钥和加密字符串组成,后面是模块代码。研究人员观察到的模块包括核心模块和持久化模块。
核心模块支持三种命令:从命令和控制服务器(C2)同步或异步执行模块;将后门注入另一个 DLL 中;以及更新信标请求之间的睡眠间隔。
持久化模块的目的是允许 后门 以一定的时间间隔执行自身。它还提供了一种替代配置,可以在目标计算机上的另一个位置建立注册表持久性。
网络攻击者的规避策略
研究人员表示,WineLoader 有许多专门针对逃避检测的功能,这表明 SpikedWine 具有显着的复杂程度。它使用硬编码的 2 字节 RC2 密钥对从 C256 服务器下载的核心模块和后续模块、字符串以及从 C4 发送和接收的数据进行加密。
研究人员表示,该恶意软件还会解密一些使用中的字符串,然后不久后重新加密。它还包括内存缓冲区,用于存储 API 调用的结果,并在使用后用零替换解密的字符串。
SpikedWine 运作方式的另一个值得注意的方面是,攻击者在攻击链的所有阶段都使用受损的网络基础设施。他们说,具体而言,研究人员发现了三个用于托管中间有效负载或作为 C2 服务器的受感染网站。
防护与检测(如何避免红酒渍)
Zscaler ThreatLabz 已向印度国家信息中心 (NIC) 的联系人通报了此次攻击中滥用印度政府主题的情况。
研究人员表示,由于攻击中使用的 C2 服务器仅在特定时间响应特定类型的请求,因此自动分析解决方案无法检索 C2 响应和模块化有效负载以进行检测和分析。为了帮助防御者,他们在博客文章中包含了与攻击相关的妥协指标 (IoC) 和 URL 列表。
多层的 云安全平台 研究人员指出,应该在各个级别检测与 WineLoader 相关的 IoC,例如任何具有威胁名称 Win64.Downloader.WineLoader 的文件。
- :具有
- :是
- 27
- 30
- 7
- a
- 关于
- 滥用
- 后
- 驳
- 针对
- 所有类型
- 允许
- 还
- 替代
- 大使
- an
- 分析
- 和
- 另一个
- 任何
- API
- 适当
- 档案
- 保健
- AS
- 方面
- 相关
- At
- 攻击
- 自动化
- 避免
- 后门
- BE
- 烽火
- 很
- before
- 背后
- 相信
- 之间
- 博客
- 都
- by
- 被称为
- 呼叫
- 营销活动
- 不能
- 小心
- 进行
- Center
- 一定
- 链
- 特点
- 码
- 妥协
- 妥协
- 配置
- 由
- 联系
- 包含
- Contents
- 核心
- 国家
- 精雕细琢
- 创意奖学金
- 文化
- 网络
- 网络攻击
- data
- 捍卫者
- 交付
- 交货
- 示范
- 设计
- 检测
- 检测
- 外交官
- 发现
- 下载
- 配音
- 每
- 或
- 电子邮件
- 嵌入式
- 员工
- 加密
- 结束
- 设计
- 享受
- 建立
- EU
- 欧洲
- 欧洲联盟
- 欧盟(EU)
- 逃脱
- 活动
- 执行
- 执行
- 执行
- 执行
- 利用
- 假
- 二月
- 文件
- 档
- 满
- 结束
- 其次
- 针对
- 取证
- 止
- 功能
- 功能
- 地缘政治
- 政府
- 守卫
- 有
- 帮助
- 高
- 托管
- 创新中心
- How To
- HTTPS
- 确定
- 模仿
- in
- 包括
- 包括
- 包括
- 印度
- 印度
- 印度政府
- 指标
- 基础设施
- 有兴趣
- 成
- 请帖
- 邀请
- 诱人的
- IT
- 本身
- 一月三十一日
- JavaScript的
- 键
- 已知
- 拉脱维亚
- 邮件
- Level
- 各级
- 友情链接
- 清单
- 装载
- 圖書分館的位置
- 机
- 恶意
- 恶意软件
- 内存
- 任务
- 模块化
- 模块
- 模块
- 多层
- 多
- 必须
- 姓名
- 命名
- National
- 联合国
- 网络
- 下页
- 显着
- 注意到
- 数
- of
- 优惠精选
- 官员
- on
- 仅由
- 运营
- 操作
- or
- 秩序
- 输出
- 最划算
- 参加
- 径
- 坚持
- 阶段
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 帖子
- 所得款项
- 保护
- 出版
- 收到
- 最近
- 红色
- 注册处
- 有关
- 关系
- 要求
- 研究人员
- 住所
- 回复
- 成果
- 罗伊
- s
- 说
- 保安
- 敏感
- 发送
- 服务
- 服务器
- 服务器
- 几个
- 不久
- 应该
- 显示
- 网站
- 睡觉
- 社会
- 解决方案
- 一些
- 极致
- 具体的
- 特别是
- 赞助商
- 阶段
- 实习
- 开始
- 启动
- 商店
- 随后
- 这样
- 支持
- 策略
- 针对
- TAY
- 技术
- 这
- 其
- 他们
- 主题
- 然后
- 他们
- Free Introduction
- 那些
- 威胁
- 三
- 时
- 至
- 转
- 类型
- 下
- 工会
- 更新
- 上传
- 使用
- 用过的
- 用户
- 使用
- 运用
- 各个
- 受害者
- we
- 网站
- 井
- ,尤其是
- 这
- Witness & Evangelism Committee
- 中
- 写
- 和风网
- 压缩