HackBrowserData Infostealer Malware
Aktor ancaman yang tidak diketahui telah menumpukan perhatian mereka kepada entiti kerajaan India dan syarikat tenaga, menggunakan varian yang diubah suai bagi perisian hasad pencuri maklumat sumber terbuka yang digelar HackBrowserData. Objektif mereka melibatkan penyingkiran data sensitif, dengan Slack sebagai mekanisme Perintah-dan-Kawalan (C2) dalam keadaan tertentu. Malware itu disebarkan melalui e-mel pancingan data, disamarkan sebagai surat jemputan yang kononnya daripada Tentera Udara India.
Selepas pelaksanaan, penyerang memanfaatkan saluran Slack sebagai saluran untuk mengeluarkan pelbagai bentuk maklumat sensitif, termasuk dokumen dalaman sulit, surat-menyurat e-mel peribadi dan data penyemak imbas Web yang dicache. Kempen yang didokumenkan ini dianggarkan telah bermula pada awal Mac 2024.
Isi kandungan
Penjenayah Siber Sasar Entiti Kerajaan dan Swasta yang Penting
Skop aktiviti berbahaya menjangkau banyak entiti kerajaan di India, merangkumi sektor seperti komunikasi elektronik, tadbir urus IT dan pertahanan negara.
Dilaporkan, aktor ancaman itu telah melanggar syarikat tenaga swasta secara berkesan, mengeluarkan dokumen kewangan, maklumat peribadi pekerja, dan butiran mengenai operasi penggerudian minyak dan gas. Jumlah keseluruhan data yang dieksfiltrasi sepanjang kempen berjumlah kira-kira 8.81 gigabait.
Rangkaian Jangkitan Menggunakan Perisian Hasad HackBrowserData yang Diubahsuai
Urutan serangan dimulakan dengan mesej pancingan data yang mengandungi fail ISO bernama 'invite.iso.' Dalam fail ini terdapat pintasan Windows (LNK) yang mengaktifkan pelaksanaan fail binari tersembunyi ('scholar.exe') yang berada dalam imej cakera optik yang dipasang.
Pada masa yang sama, fail PDF menipu yang menyamar sebagai surat jemputan daripada Tentera Udara India disampaikan kepada mangsa. Pada masa yang sama, di latar belakang, perisian hasad secara diam-diam mengumpulkan dokumen dan data penyemak imbas web yang dicache, menghantarnya ke saluran Slack di bawah kawalan pelakon ancaman, FlightNight yang ditetapkan.
Perisian hasad ini mewakili lelaran HackBrowserData yang diubah suai, melangkaui fungsi kecurian data penyemak imbas awalnya untuk memasukkan keupayaan untuk mengekstrak dokumen (seperti yang terdapat dalam fail pangkalan data Microsoft Office, PDF dan SQL), berkomunikasi melalui Slack dan menggunakan teknik pengelakan untuk pengelakan yang dipertingkatkan pengesanan.
Terdapat syak wasangka bahawa pelakon ancaman memperoleh PDF umpan semasa pencerobohan sebelum ini, dengan persamaan tingkah laku dikesan kepada kempen pancingan data yang menyasarkan Tentera Udara India menggunakan pencuri berasaskan Go yang dikenali sebagai GoStealer.
Kempen Peribadi Sebelumnya Menggunakan Taktik Jangkitan Serupa
Proses jangkitan GoStealer hampir serupa dengan FlightNight, menggunakan taktik gewang yang tertumpu pada tema perolehan (cth, 'SU-30 Aircraft Procurement.iso') untuk mengalih perhatian mangsa dengan fail umpan. Pada masa yang sama, muatan pencuri beroperasi di latar belakang, mengekstrak maklumat yang disasarkan melalui Slack.
Dengan menggunakan alat serangan yang tersedia dan memanfaatkan platform yang sah seperti Slack, yang biasa ditemui dalam persekitaran korporat, pelaku ancaman boleh menyelaraskan operasi mereka, mengurangkan perbelanjaan masa dan pembangunan sambil mengekalkan profil rendah.
Keuntungan kecekapan ini menjadikannya semakin mudah untuk melancarkan serangan yang disasarkan, malah membolehkan penjenayah siber yang kurang berpengalaman menyebabkan kemudaratan yang ketara kepada organisasi. Ini menekankan sifat berkembang ancaman siber, di mana pelaku berniat jahat mengeksploitasi alat dan platform sumber terbuka yang boleh diakses secara meluas untuk mencapai matlamat mereka dengan risiko pengesanan dan pelaburan yang minimum.
