WINELOADER :针对印度驻欧外交使团的恶意后门

阅读量53076

发布时间 : 2024-03-04 11:09:24

 

一个名为 SPIKEDWINE 的未知黑客组织正在攻击印度外交使团所在的多个欧洲国家的大使。为了实现他们的目标,攻击者使用了新的恶意后门 – WINELOADER。

Zscaler ThreatLabz 的一份报告对此进行了报道 。根据他们的数据,作为攻击的一部分,黑客向外交使团员工发送了pdf文件,据称是代表印度大使。这些信件包含定于 2024 年 2 月 2 日举行的品酒会邀请函。

其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源 。然而,有理由相信该活动最早可能于 2023 年 7 月 6 日开始。来自同一国家的另一个类似 pdf 的发现表明了这一点。

Sudeep Singh 和 Roy Tay 的安全研究人员表示:“此次攻击规模较小,并且在恶意软件本身以及命令和控制基础设施中都使用了先进的方法、技术和程序。”

该 pdf 文件包含伪装成调查问卷的恶意链接。收件人需要填写一份表格才能参加该活动。点击此链接可下载带有模糊 JavaScript 代码的 html 应用程序(“wine.hta”)。它旨在接收包含来自同一域的 WINELOADER 恶意软件的加密 ZIP 存档。

WINELOADER 核心包括一个从命令和控制服务器下载附加元素的模块。它还嵌入第三方 DLL 中,减少发送请求之间的时间间隔。

这些网络攻击的一个显着特征是使用被黑客入侵的网站作为命令和控制服务器并托管恶意软件。据推测,命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求。这使得攻击更加隐蔽且更难以检测。

正如研究人员指出的那样,黑客付出了巨大的努力来掩盖他们的踪迹。特别是,他们避免了可能引起内存分析系统和自动 URL 扫描注意的活动。

 

本文由ISC6196381205原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/293599

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66