新的SpikedWine APT组织正在瞄准欧洲官员

Zscaler的研究人员警告称，他们观察到一个名为SPIKEDWINE的以前未知的威胁行为者正在瞄准欧洲官员。这些网络间谍使用了一个诱饵PDF文件，伪装成印度大使的邀请函，邀请外交官参加2024年2月的品酒活动。该活动的特点是其非常低的规模以及威胁行为者采用的高级战术、技术和程序（TTPs）。PDF包含一个链接，指向一个虚假问卷，将用户重定向到一个被篡改的网站上托管的恶意ZIP存档。

ZIP存档包含一个名为wine.hta的HTA文件，其中包含混淆的JavaScript代码。该脚本执行下一个阶段，并使用一种与公开可用的混淆器obfuscator.io相匹配的混淆技术。

JavaScript代码从同一域中检索一个编码的ZIP存档，其中包含WINELOADER。威胁行为者依靠DLL空壳注入将WINELOADER注入到Windows系统目录中随机选择的DLL中。研究人员指出，WINELOADER没有被注入到包含恶意软件使用的导出函数的DLL中。

这份PDF文件于2024年1月30日从拉脱维亚上传到VirusTotal。Zscaler收集的证据表明，这次活动至少从2023年7月6日开始就一直在进行。威胁行为者使用被篡改的网站来托管中间载荷或充当C2服务器。为了避免被发现，C2服务器只在特定时间对特定类型的请求做出回应。

报告总结道：“威胁行为者为了躲避内存取证和自动化URL扫描解决方案，付出了额外的努力。虽然我们目前无法将这种活动归因于任何已知的国家级威胁行为者，但我们会继续监视与该威胁行为者有关的任何新动向，并确保为我们的客户提供必要的防护措施来应对这些威胁。”

原文始发于微信公众号（黑猫安全）：新的SpikedWine APT组织正在瞄准欧洲官员