HackBrowserData Infostealer ļaunprātīga programmatūra
Nezināmi apdraudējuma dalībnieki ir vērsuši savu uzmanību uz Indijas valdības struktūrām un enerģētikas uzņēmumiem, izmantojot modificētu atvērtā koda informācijas zagšanas ļaunprātīgas programmatūras variantu, kas nodēvēts par HackBrowserData. To mērķis ir sensitīvu datu izfiltrēšana, dažos gadījumos izmantojot Slack kā komandu un kontroles (C2) mehānismu. Ļaunprātīga programmatūra tika izplatīta ar pikšķerēšanas e-pastiem, kas tika maskēti kā Indijas gaisa spēku ielūguma vēstules.
Pēc izpildes uzbrucējs izmantoja Slack kanālus kā kanālus, lai izfiltrētu dažāda veida sensitīvu informāciju, tostarp konfidenciālus iekšējos dokumentus, privātu e-pasta korespondenci un kešatmiņā saglabātos tīmekļa pārlūkprogrammas datus. Tiek lēsts, ka šī dokumentētā kampaņa ir sākusies 2024. gada marta sākumā.
Satura rādītājs
Kibernoziedznieki ir vērsti pret nozīmīgām valdības un privātām struktūrām
Kaitīgās darbības joma attiecas uz daudzām Indijas valdības iestādēm, aptverot tādas nozares kā elektroniskie sakari, IT pārvaldība un valsts aizsardzība.
Tiek ziņots, ka draudu izpildītājs ir efektīvi pārkāpis privātos enerģētikas uzņēmumus, iegūstot finanšu dokumentus, darbinieku personas informāciju un informāciju par naftas un gāzes urbšanas darbībām. Kopējais izfiltrēto datu apjoms kampaņas laikā ir aptuveni 8,81 gigabaits.
Infekcijas ķēde, kas izvieto modificētu HackBrowserData ļaunprātīgu programmatūru
Uzbrukuma secība sākas ar pikšķerēšanas ziņojumu, kas satur ISO failu ar nosaukumu "invite.iso". Šajā failā atrodas Windows saīsne (LNK), kas aktivizē slēptā binārā faila (“scholar.exe”) izpildi, kas atrodas uzstādītā optiskā diska attēlā.
Vienlaikus upurim tiek pasniegts maldinošs PDF fails, kas ir Indijas gaisa spēku ielūguma vēstule. Tajā pašā laikā ļaunprogrammatūra fonā diskrēti apkopo dokumentus un kešatmiņā saglabātos tīmekļa pārlūkprogrammas datus, pārsūtot tos uz Slack kanālu, ko kontrolē apdraudējuma dalībnieks, ar nosaukumu FlightNight.
Šī ļaunprogrammatūra ir modificēta HackBrowserData iterācija, kas pārsniedz tās sākotnējās pārlūkprogrammas datu zādzības funkcijas, iekļaujot iespēju izvilkt dokumentus (piemēram, Microsoft Office, PDF un SQL datu bāzes failos), sazināties, izmantojot Slack, un izmantot neskaidrības metodes, lai uzlabotu izvairīšanos. no atklāšanas.
Pastāv aizdomas, ka draudu izpildītājs ieguva mānekļu PDF iepriekšējās ielaušanās laikā, un uzvedības paralēles tika izsekotas pikšķerēšanas kampaņai, kuras mērķis bija Indijas gaisa spēki, izmantojot uz Go balstītu zagli, kas pazīstams kā GoStealer.
Iepriekšējās ļaunprātīgas programmatūras kampaņas, kurās tika izmantota līdzīga inficēšanās taktika
GoStealer inficēšanās process cieši atspoguļo FlightNight procesu, izmantojot pievilināšanas taktiku, kas vērsta uz iepirkuma tēmām (piemēram, “SU-30 Aircraft Procurement.iso”), lai novērstu upuru uzmanību ar mānekļa failu. Tajā pašā laikā zagšanas slodze darbojas fonā, izfiltrējot mērķtiecīgu informāciju, izmantojot Slack.
Izmantojot viegli pieejamus aizskarošus rīkus un izmantojot likumīgas platformas, piemēram, Slack, kas bieži sastopamas korporatīvajā vidē, apdraudējuma dalībnieki var racionalizēt savu darbību, samazinot gan laika, gan izstrādes izdevumus, vienlaikus saglabājot zemu profilu.
Šie efektivitātes uzlabojumi padara mērķtiecīgu uzbrukumu sākšanu arvien vienkāršāku, pat ļaujot mazāk pieredzējušiem kibernoziedzniekiem nodarīt būtisku kaitējumu organizācijām. Tas uzsver kiberdraudu mainīgo raksturu, kad ļaunprātīgi dalībnieki izmanto plaši pieejamus atvērtā pirmkoda rīkus un platformas, lai sasniegtu savus mērķus ar minimālu atklāšanas un ieguldījumu risku.
