Một tác nhân đe dọa không có giấy tờ trước đây được gọi là SPIKEDWINE đã được quan sát thấy nhắm mục tiêu vào các quan chức ở các nước châu Âu với các cơ quan ngoại giao Ấn Độ bằng cách sử dụng một cửa hậu mới gọi là WINELOADER.
Đối thủ, theo một báo cáo từ Zscaler ThreatLabz, đã sử dụng một tệp PDF trong các email được cho là đến từ Đại sứ Ấn Độ, mời các nhân viên ngoại giao đến một sự kiện nếm rượu vang vào ngày 2/2/2024.
Tài liệu PDF đã được tải lên VirusTotal từ Latvia vào ngày 30 tháng 1 năm 2024. Điều đó nói rằng, có bằng chứng cho thấy chiến dịch này có thể đã hoạt động ít nhất kể từ ngày 6 tháng 7 năm 2023, bằng cách phát hiện ra một tệp PDF tương tự khác được tải lên từ cùng một quốc gia.
"Cuộc tấn công được đặc trưng bởi khối lượng rất thấp và các chiến thuật, kỹ thuật và quy trình tiên tiến (TTP) được sử dụng trong cơ sở hạ tầng phần mềm độc hại và chỉ huy và kiểm soát (C2)", các nhà nghiên cứu bảo mật Sudeep Singh và Roy Tay cho biết.
Trung tâm của cuộc tấn công mới là tệp PDF được nhúng với một liên kết độc hại giả mạo như một bảng câu hỏi, kêu gọi người nhận điền vào nó để tham gia. Nhấp vào liên kết sẽ mở đường cho một ứng dụng HTML ("wine.hta") có chứa mã JavaScript bị xáo trộn để truy xuất kho lưu trữ ZIP được mã hóa mang WINELOADER từ cùng một miền.
Phần mềm độc hại được đóng gói với một mô-đun cốt lõi được thiết kế để Thực thi các mô-đun từ máy chủ C2, tự tiêm vào một thư viện liên kết động (DLL) khác và cập nhật khoảng thời gian ngủ giữa các yêu cầu đèn hiệu.
Một khía cạnh đáng chú ý của các cuộc xâm nhập mạng là việc sử dụng các trang web bị xâm nhập cho C2 và lưu trữ các tải trọng trung gian. Người ta nghi ngờ rằng "máy chủ C2 chỉ phản hồi các loại yêu cầu cụ thể tại một số thời điểm nhất định", do đó làm cho các cuộc tấn công trở nên lẩn tránh hơn.
"Tác nhân đe dọa đã nỗ lực thêm để không bị phát hiện bằng cách trốn tránh pháp y bộ nhớ và các giải pháp quét URL tự động", các nhà nghiên cứu cho biết.