Nuovo Attacco Informatico: Backdoor Mirato a Funzionari Europei Collegati agli Eventi Diplomatici Indiani
Un nuovo attore minaccioso, denominato SPIKEDWINE, è stato osservato nel mirare funzionari di paesi europei con missioni diplomatiche indiane utilizzando una nuova backdoor chiamata WINELOADER.
Secondo un rapporto di Zscaler ThreatLabz, l’avversario ha utilizzato un file PDF in email che pretendeva di provenire dall’Ambasciatore dell’India, invitando il personale diplomatico a un evento di degustazione di vini il 2 febbraio 2024.
Il documento PDF è stato caricato su VirusTotal dalla Lettonia il 30 gennaio 2024. Tuttavia, ci sono prove che suggeriscono che questa campagna potrebbe essere attiva almeno dal 6 luglio 2023, data dalla scoperta di un altro file PDF simile caricato dallo stesso paese.
“L’attacco è caratterizzato dal suo volume molto basso e dalle tattiche, tecniche e procedure avanzate (TTP) impiegate nel malware e nell’infrastruttura di command-and-control (C2),” hanno dichiarato i ricercatori sulla sicurezza Sudeep Singh e Roy Tay.
Centrale a questo attacco innovativo è il file PDF che contiene un link maligno che si maschera da questionario, esortando i destinatari a compilarlo per partecipare.
Cliccando sul link si apre un’applicazione HTML (“wine.hta”) che contiene codice JavaScript offuscato per recuperare un archivio ZIP codificato contenente WINELOADER dallo stesso dominio.
Il malware è dotato di un modulo centrale progettato per eseguire moduli dal server C2, iniettarsi in un’altra libreria a collegamento dinamico (DLL) e aggiornare l’intervallo di tempo di attesa tra le richieste di beacon.
Un aspetto degno di nota delle incursioni informatiche è l’uso di siti web compromessi per il C2 e l’hosting di payload intermedi.
Si sospetta che il “server C2 risponda solo a tipi specifici di richieste in determinati momenti”, rendendo così gli attacchi più evasivi.
“L’attore minaccioso ha messo ulteriore impegno nel rimanere non rilevato evitando le analisi forensi della memoria e le soluzioni automatizzate di scansione degli URL,” hanno aggiunto i ricercatori.