Ранее недокументированный субъект угрозы по прозвищу SPIKEDWINE был замечен в нападении на должностных лиц в европейских странах с индийскими дипломатическими представительствами, использующий новый бэкдор под названием WINELOADER.
Согласно отчету Zscaler ThreatLabZ, злоумышленник использовал файл PDF в электронных письмах, которые якобы исходили от посла Индии, приглашая дипломатических сотрудников на дегустацию вин 2 февраля 2024 года.
PDF-документ был загружен в VirusTotal из Латвии 30 января 2024 года. Тем не менее, есть основания предполагать, что эта кампания могла быть активна по крайней мере с 6 июля 2023 года, судя по обнаружению другого аналогичного PDF-файла, загруженного из той же страны.
"Атака характеризуется очень малым объемом и передовой тактикой, методами и процедурами (TTP), используемыми в инфраструктуре вредоносного ПО и командования и контроля (C2)", - сказали исследователи безопасности Судип Сингх и Рой Тей.
Центральное место в новой атаке занимает PDF-файл, в который встроена вредоносная ссылка, маскирующаяся под анкету, призывающая получателей заполнить ее, чтобы принять участие. Нажатие на ссылку открывает путь для HTML-приложения ("wine.hta"), которое содержит запутанный код JavaScript для извлечения закодированного ZIP-архива с WINELOADER из того же домена.
Вредоносная программа оснащена основным модулем, который предназначен для выполнения модулей с сервера C2, внедрения в другую библиотеку динамических ссылок (DLL) и обновления интервала ожидания между запросами beacon.
Примечательным аспектом кибератак является использование скомпрометированных веб-сайтов для C2 и размещения промежуточных полезных нагрузок. Есть подозрение, что "сервер C2 отвечает только на определенные типы запросов в определенное время", тем самым делая атаки более уклончивыми.
"Субъект угрозы приложил дополнительные усилия, чтобы остаться незамеченным, уклоняясь от судебной экспертизы памяти и автоматизированных решений для сканирования URL", - сказали исследователи.
Согласно отчету Zscaler ThreatLabZ, злоумышленник использовал файл PDF в электронных письмах, которые якобы исходили от посла Индии, приглашая дипломатических сотрудников на дегустацию вин 2 февраля 2024 года.
PDF-документ был загружен в VirusTotal из Латвии 30 января 2024 года. Тем не менее, есть основания предполагать, что эта кампания могла быть активна по крайней мере с 6 июля 2023 года, судя по обнаружению другого аналогичного PDF-файла, загруженного из той же страны.
"Атака характеризуется очень малым объемом и передовой тактикой, методами и процедурами (TTP), используемыми в инфраструктуре вредоносного ПО и командования и контроля (C2)", - сказали исследователи безопасности Судип Сингх и Рой Тей.
Центральное место в новой атаке занимает PDF-файл, в который встроена вредоносная ссылка, маскирующаяся под анкету, призывающая получателей заполнить ее, чтобы принять участие. Нажатие на ссылку открывает путь для HTML-приложения ("wine.hta"), которое содержит запутанный код JavaScript для извлечения закодированного ZIP-архива с WINELOADER из того же домена.
Вредоносная программа оснащена основным модулем, который предназначен для выполнения модулей с сервера C2, внедрения в другую библиотеку динамических ссылок (DLL) и обновления интервала ожидания между запросами beacon.
Примечательным аспектом кибератак является использование скомпрометированных веб-сайтов для C2 и размещения промежуточных полезных нагрузок. Есть подозрение, что "сервер C2 отвечает только на определенные типы запросов в определенное время", тем самым делая атаки более уклончивыми.
"Субъект угрозы приложил дополнительные усилия, чтобы остаться незамеченным, уклоняясь от судебной экспертизы памяти и автоматизированных решений для сканирования URL", - сказали исследователи.
