SPIKEDWINE攻击组织通过品酒活动引诱欧盟外交官

Zscaler的ThreatLabz研究团队发现了一个2024年1月30日从拉脱维亚上传到VirusTotal的可疑PDF文件。该PDF文件伪装成印度大使的邀请函，邀请外交官参加2024年2月的品酒活动。该PDF还包括链接到虚假调查问卷，会将用户重定向到托管了恶意ZIP存档的受感染网站上，从而启动感染链。ThreatLabz进一步的威胁追踪发现了另一个类似的PDF文件，该文件于2023年7月从拉脱维亚上传到VirusTotal。研究人员分享了有关其命名为“WINELOADER”的先前未记录后门的详细信息。初步判断，这是一个国家威胁行为体有意利用印度与欧洲国家外交官之间的地缘政治关系实施的定向攻击。这波攻击的特点是攻击量非常小，并且在恶意软件和命令与控制(C2)基础设施中采用了先进的策略、技术和程序(TTP)。ThreatLabz尚未将此次攻击归咎于任何已知的APT组织，但已根据攻击链不同阶段使用的与葡萄酒相关的主题和文件名，将此威胁行为者命名为SPIKEDWINE，深入的调查分析正在进行中。ThreatLabz的博文没有透露是否有目标外交官被成功击中。ThreatLabz称已向印度国家信息中心(NIC)的联系人通报了相关情况。

事件概述

众所周知，欧洲人喜欢美酒，这一文化特征在最近的威胁活动中被攻击者用来对付他们。该网络行动的目的是通过虚假的品酒活动来引诱欧盟(EU)外交官，从而投送并安装一种新颖的后门。

Zscaler旗下ThreatLabz的研究人员在2月27日发表的博文中写道，他们发现的活动专门针对驻有印度外交使团的欧盟国家官员。该行为者（被恰当地称为“SpikedWine”）在电子邮件中使用了一个PDF文件，声称是印度大使的邀请函，邀请外交官参加2月2日的品酒活动。

Zscaler ThreatLabz的研究人员苏迪普·辛格(Sudeep Singh)和罗伊·泰(Roy Tay)在帖子中写道：“我们认为，是一个民族国家威胁者实施了这次攻击，他们有意利用印度与欧洲国家外交官之间的地缘政治关系。”

该活动的有效负载是一个后门，研究人员称之为“WineLoader”，它采用模块化设计，并采用专门逃避检测的技术。研究人员指出，其中包括重新加密和清零内存缓冲区，这有助于保护内存中的敏感数据并逃避内存取证解决方案。

SpikedWine在攻击链的多个阶段使用受感染的网站进行命令和控制(C2)，攻击链从受害者单击PDF中的链接开始，到WineLoader的模块化投递结束。研究人员表示，网络攻击者在社交工程活动和恶意软件的创意设计方面都表现出了高度的复杂性。

SpikedWine实施多个阶段的网络攻击

Zscaler ThreatLabz发现的PDF文件是1月30日从拉脱维亚上传到VirusTotal的，该文件据称是印度大使官邸的品酒会邀请函。攻击者精心制作了内容以冒充印度大使，邀请函中包含恶意链接假问卷，前提是必须填写才能参与。

单击该链接会将用户重定向到受感染的站点，该站点会继续下载包含名为“wine.hta”的文件的zip存档。下载的文件包含执行下一阶段攻击的模糊JavaScript代码。

最终，该文件从路径：C:WindowsTasks执行名为sqlwriter.exe的文件，通过加载名为vcruntime140.dll的恶意DLL来启动WineLoader后门感染链。这反过来会执行导出函数set_se_translator，该函数在执行之前使用硬编码的256字节RC4密钥对DLL中的嵌入式WineLoader核心模块进行解密。

WineLoader：模块化、持久性后门恶意软件

WineLoader有几个模块，每个模块都由配置数据、RC4密钥和加密字符串组成，后面是模块代码。研究人员观察到的模块包括核心模块和持久化模块。

核心模块支持三种命令：从命令和控制服务器（C2）同步或异步执行模块；将后门注入另一个DLL中；以及更新信标请求之间的睡眠间隔。

持久性模块的目的是允许后门以一定的时间间隔自行执行。它还提供了一种替代配置，可以在目标计算机上的另一个位置建立注册表持久性。

网络攻击者的规避策略

研究人员表示，WineLoader有许多专门针对逃避检测的功能，这表明SpikedWine具有显着的复杂程度。它使用硬编码的256字节RC4密钥对从C2服务器下载的核心模块和后续模块、字符串以及从C2发送和接收的数据进行加密。

研究人员表示，该恶意软件还会解密一些使用中的字符串，然后不久后重新加密。它还包括内存缓冲区，用于存储API调用的结果，并在使用后用零替换解密的字符串。

SpikedWine运作方式的另一个值得注意的方面是，攻击者在攻击链的所有阶段都使用受损的网络基础设施。研究人员发现了三个用于托管中间有效负载或作为C2服务器的受感染网站。

防护与检测

Zscaler ThreatLabz已向印度国家信息中心(NIC)的联系人通报了此次攻击中滥用印度政府主题的情况。

研究人员表示，由于攻击中使用的C2服务器仅在特定时间响应特定类型的请求，因此自动分析解决方案无法检索C2响应和模块化有效负载以进行检测和分析。为了帮助防御者，他们在博客文章中包含了与攻击相关的妥协指标(IoC)和URL列表。

研究人员指出，多层云安全平台应在各个级别检测与WineLoader相关的IoC，例如任何具有威胁名称Win64.Downloader.WineLoader的文件。

参考资源：

1.https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers

2.https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

原文来源：网空闲话plus

“投稿联系方式：孙中豪 010-82992251 [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：美酒与陷阱！SPIKEDWINE攻击组织通过品酒活动引诱欧盟外交官