一个名为 SPIKEDWINE 的未知黑客组织正在针对印度外交使团所在的多个欧洲国家的大使发动攻击。为了实现他们的目标,攻击者使用了新的恶意后门 – WINELOADER。
根据Zscaler ThreatLabz的报告,黑客组织通过向外交使团员工发送PDF文件进行攻击,文件声称是印度大使发出的邀请函,邀请他们参加定于2024年2月2日举行的品酒会。
其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源,可能与SPIKEDWINE黑客组织攻击有关。然而,有迹象表明该活动可能最早始于2023年7月6日。另外,来自同一国家的其他类似PDF文档的发现也支持了这一推断。
安全研究人员Sudeep Singh和Roy Tay指出:“此次攻击规模较小,且在恶意软件及其命令和控制基础设施中采用了先进的方法、技术和程序”。
该PDF文件包含伪装成调查问卷的恶意链接,要求收件人填写表格以参加活动。点击链接会下载一个带有模糊JavaScript代码的HTML应用程序(”wine.hta”)。该应用程序旨在接收加密ZIP存档,其中包含来自同一域的WINELOADER恶意软件。
WINELOADER的核心功能包括从命令和控制服务器下载附加元素的模块,并将第三方DLL嵌入其中,以减少请求之间的时间间隔。
这些网络攻击的显著特征之一是使用被黑客入侵的网站作为命令和控制服务器,并托管恶意软件。据推测,命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求,从而使得攻击更加隐蔽且更难以检测。
正如研究人员指出的那样,黑客付出了巨大的努力来掩盖他们的踪迹,尤其是避免了可能引起内存分析系统和自动URL扫描注意的活动。
转自安全客,原文链接:https://www.anquanke.com/post/id/293599
暂无评论内容