Avrupalıların, yakın zamanda düzenlenen bir tehdit kampanyasının arkasındaki saldırganlar tarafından kendilerine karşı kullanılan kültürel bir özellik olan kaliteli şaraptan hoşlandıkları biliniyor. Siber operasyonla amaçlanan yeni arka kapı Avrupa Birliği (AB) diplomatlarını sahte bir şarap tadım etkinliğiyle kandırarak.
Zscaler’s ThreatLabz’daki araştırmacılar, özellikle Hindistan’ın diplomatik misyonlarına sahip AB ülkelerinden yetkilileri hedef alan kampanyayı keşfettiklerini yazdılar bir blog yazısında Uygun bir şekilde “SpikedWine” olarak adlandırılan aktör, e-postalarında Hindistan büyükelçisinden gelen bir davet mektubu olduğu iddia edilen bir PDF dosyası kullanarak diplomatları 2 Şubat’ta bir şarap tadım etkinliğine davet etti.
Zscaler ThreatLabz araştırmacıları Sudeep Singh ve Roy Tay, gönderide “Hindistan ile Avrupa ülkelerindeki diplomatlar arasındaki jeopolitik ilişkilerden yararlanmak isteyen bir ulus-devlet tehdit aktörünün bu saldırıyı gerçekleştirdiğine inanıyoruz.” dedi.
Kampanyanın yükü bir arka kapı Araştırmacıların modüler bir tasarıma sahip olan ve özellikle tespitten kaçınmak için teknikler kullanan “WineLoader” adını verdiği bu sistem. Araştırmacılar, bunların arasında, bellekteki hassas verileri korumaya ve bellek adli tıp çözümlerinden kaçınmaya hizmet eden yeniden şifreleme ve bellek arabelleklerinin sıfırlanmasının da yer aldığını belirtti.
SpikedWine, kurbanın PDF’deki bir bağlantıya tıklamasıyla başlayan ve WineLoader’ın modüler teslimiyle sona eren saldırı zincirinin birden fazla aşamasında komuta ve kontrol (C2) için tehlikeye atılmış web siteleri kullandı. Araştırmacılar, genel olarak siber saldırganların hem sosyal mühendislik kampanyalarının hem de kötü amaçlı yazılımların yaratıcı tasarımında yüksek düzeyde karmaşıklık sergilediğini söyledi.
SpikedWine Çoklu Siber Saldırı Aşamalarını Ortaya Çıkarıyor
Zscaler ThreatLabz, 30 Ocak’ta Letonya’dan VirusTotal’a yüklenen Hindistan büyükelçisinin evinde sözde şarap tadımı daveti olan PDF dosyasını keşfetti. Saldırganlar, içeriği Hindistan büyükelçisinin kimliğine bürünmek için dikkatlice hazırladılar ve davetiye, kötü amaçlı bir bağlantı içeriyor katılmak için doldurulması gerektiği varsayımıyla sahte bir ankete.
Bağlantıya tıklamak (hata, tıklamak) kullanıcıları, “wine.hta” adlı bir dosyayı içeren bir zip arşivini indirmeye devam eden, güvenliği ihlal edilmiş bir siteye yönlendirir. İndirilen dosya, saldırının bir sonraki aşamasını yürüten karmaşık JavaScript kodunu içeriyor.
Sonunda dosya, vcruntime140.dll adlı kötü amaçlı bir DLL yükleyerek WineLoader arka kapı enfeksiyon zincirini başlatmak için C:\Windows\Tasks\ yolundan sqlwriter.exe adlı bir dosyayı çalıştırır. Bu da dışa aktarılan bir işlevi yürütür set_se_translatorçalıştırmadan önce sabit kodlanmış 256 baytlık bir RC4 anahtarını kullanarak DLL içindeki yerleşik WineLoader çekirdek modülünün şifresini çözer.
WineLoader: Modüler, Kalıcı Arka Kapı Kötü Amaçlı Yazılımı
WineLoader’ın her biri yapılandırma verileri, bir RC4 anahtarı ve şifrelenmiş dizelerden ve ardından modül kodundan oluşan birkaç modülü vardır. Araştırmacıların gözlemlediği modüller bir çekirdek modül ve bir kalıcılık modülü içeriyor.
Çekirdek modül üç komutu destekler: modüllerin komut ve kontrol sunucusundan (C2) eşzamanlı veya eşzamansız olarak yürütülmesi; arka kapının başka bir DLL’ye eklenmesi; ve işaret istekleri arasındaki uyku aralığının güncellenmesi.
Kalıcılık modülü izin vermeyi amaçlamaktadır arka kapı belirli aralıklarla kendini yürütmek için. Ayrıca, hedeflenen makinede başka bir konumda kayıt defteri kalıcılığı oluşturmak için alternatif bir yapılandırma da sunar.
Siber Saldırganın Kaçınma Taktikleri
Araştırmacılar, WineLoader’ın özellikle tespitten kaçınmayı amaçlayan ve SpikedWine’ın dikkate değer düzeyde gelişmişliğini gösteren bir dizi işlevi olduğunu söyledi. C2 sunucusundan indirilen çekirdek modülü ve sonraki modülleri, dizeleri ve C2’den gönderilen ve alınan verileri sabit kodlanmış 256 baytlık bir RC4 anahtarıyla şifreler.
Araştırmacılar, kötü amaçlı yazılımın kullanım sırasında bazı dizelerin şifresini çözdüğünü ve kısa bir süre sonra yeniden şifrelendiğini söyledi. Ayrıca, API çağrılarından elde edilen sonuçları saklayan ve ayrıca şifresi çözülmüş dizeleri kullanımdan sonra sıfırlarla değiştiren bellek arabelleklerini içerir.
SpikedWine’ın çalışma şeklinin bir diğer dikkate değer yönü, aktörün saldırı zincirinin tüm aşamalarında güvenliği ihlal edilmiş ağ altyapısını kullanmasıdır. Araştırmacılar özellikle, ara yükleri barındırmak için veya C2 sunucuları olarak kullanılan, güvenliği ihlal edilmiş üç web sitesi belirlediklerini söylediler.
Koruma ve Tespit (Kırmızı Şarap Lekelerinden Nasıl Korunulur)
Zscaler ThreatLabz, saldırıda Hindistan hükümetinin temalarının kötüye kullanıldığı konusunda Hindistan’daki Ulusal Bilişim Merkezi’ndeki (NIC) kişileri bilgilendirdi.
Araştırmacılar, saldırıda kullanılan C2 sunucusunun yalnızca belirli türdeki isteklere belirli zamanlarda yanıt vermesi nedeniyle, otomatik analiz çözümlerinin tespit ve analiz için C2 yanıtlarını ve modüler yükleri alamadığını söyledi. Savunmacılara yardımcı olmak için, blog gönderilerine saldırı göstergelerinin (IoC’ler) ve saldırıyla ilişkili URL’lerin bir listesini eklediler.
Çok katmanlı bulut güvenlik platformu Araştırmacılar, Win64.Downloader.WineLoader tehdit adındaki dosyalar gibi WineLoader ile ilgili IoC’leri çeşitli düzeylerde tespit etmesi gerektiğini belirtti.