- 13,883
- 20
- 8 Ноя 2022
Как послы, решившие поучаствовать в дегустации, угождают в лапы шпионов.
Неизвестная хакерская группа, получившая название SPIKEDWINE, атакует послов из ряда европейских стран, где действуют индийские дипломатические миссии. Для реализации своих целей злоумышленники используют новый вредоносный бэкдор - WINELOADER.
Об этом сообщается в отчете компании Для просмотра ссылки Войдиили Зарегистрируйся . Согласно их данным, в рамках атак хакеры рассылали сотрудникам дипмиссий pdf -файлы, якобы от имени посла Индии. Эти письма содержали приглашения на дегустацию вин, намеченную на 2 февраля 2024 года.
Один из pdf-документов такого рода был загружен на ресурс Для просмотра ссылки Войдиили Зарегистрируйся 30 января 2024 года из Латвии. Вместе с тем есть основания полагать, что кампания могла начаться еще 6 июля 2023 года. На это указывает обнаружение еще одного похожего pdf из той же страны.
«Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay.
В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена.
Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов.
Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение.
Как отмечают исследователи, хакеры предприняли значительные усилия, чтобы замести свои следы. В частности, они избегали действий, которые могут привлечь внимание систем анализа памяти и автоматизированного сканирования URL-адресов.
Неизвестная хакерская группа, получившая название SPIKEDWINE, атакует послов из ряда европейских стран, где действуют индийские дипломатические миссии. Для реализации своих целей злоумышленники используют новый вредоносный бэкдор - WINELOADER.
Об этом сообщается в отчете компании Для просмотра ссылки Войди
Один из pdf-документов такого рода был загружен на ресурс Для просмотра ссылки Войди
«Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay.
В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена.
Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов.
Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение.
Как отмечают исследователи, хакеры предприняли значительные усилия, чтобы замести свои следы. В частности, они избегали действий, которые могут привлечь внимание систем анализа памяти и автоматизированного сканирования URL-адресов.
- Источник новости
- www.securitylab.ru
