البرامج الضارة HackBrowserData Infostealer
وجهت جهات تهديد غير معروفة انتباهها نحو الكيانات الحكومية الهندية وشركات الطاقة، باستخدام نسخة معدلة من برنامج ضار مفتوح المصدر لسرقة المعلومات يطلق عليه اسم HackBrowserData. يتضمن هدفهم تسريب البيانات الحساسة، باستخدام Slack كآلية للقيادة والتحكم (C2) في حالات معينة. تم نشر البرامج الضارة من خلال رسائل البريد الإلكتروني التصيدية، المموهة في شكل رسائل دعوة يُزعم أنها من القوات الجوية الهندية.
عند التنفيذ، استخدم المهاجم قنوات Slack كقنوات لتسريب أشكال مختلفة من المعلومات الحساسة، بما في ذلك المستندات الداخلية السرية ومراسلات البريد الإلكتروني الخاصة وبيانات متصفح الويب المخزنة مؤقتًا. ومن المتوقع أن تبدأ هذه الحملة الموثقة في أوائل مارس 2024.
جدول المحتويات
يستهدف مجرمو الإنترنت الجهات الحكومية والخاصة المهمة
ويمتد نطاق النشاط الضار عبر العديد من الجهات الحكومية في الهند، ليشمل قطاعات مثل الاتصالات الإلكترونية، وإدارة تكنولوجيا المعلومات، والدفاع الوطني.
وبحسب ما ورد، قام ممثل التهديد باختراق شركات الطاقة الخاصة بشكل فعال، واستخراج المستندات المالية والمعلومات الشخصية للموظفين والتفاصيل المتعلقة بعمليات التنقيب عن النفط والغاز. يصل إجمالي كمية البيانات التي تم تسريبها خلال الحملة إلى حوالي 8.81 جيجابايت.
سلسلة العدوى تنشر برنامجًا ضارًا معدلاً HackBrowserData
يبدأ تسلسل الهجوم برسالة تصيد تحتوي على ملف ISO يُسمى "invite.iso". يوجد داخل هذا الملف اختصار Windows (LNK) الذي ينشط تنفيذ الملف الثنائي المخفي ('scholar.exe') الموجود داخل صورة القرص الضوئي المثبتة.
وفي الوقت نفسه، يتم تقديم ملف PDF خادع يظهر في صورة رسالة دعوة من القوات الجوية الهندية إلى الضحية. وفي الوقت نفسه، وفي الخلفية، تقوم البرمجيات الخبيثة بجمع المستندات وبيانات متصفح الويب المخزنة مؤقتًا، وتنقلها إلى قناة Slack تحت سيطرة جهة التهديد، المعينة FlightNight.
تمثل هذه البرامج الضارة نسخة معدلة من HackBrowserData، وتمتد إلى ما هو أبعد من وظائف سرقة بيانات المتصفح الأولية لتشمل القدرة على استخراج المستندات (مثل تلك الموجودة في Microsoft Office وملفات PDF وملفات قاعدة بيانات SQL)، والتواصل عبر Slack، واستخدام تقنيات التشويش لتحسين المراوغة. من الكشف.
هناك شك في أن جهة التهديد حصلت على ملف PDF الخادع أثناء عملية اقتحام سابقة، مع تشابهات سلوكية تم تتبعها مع حملة تصيد استهدفت القوات الجوية الهندية باستخدام أداة سرقة تعتمد على Go تُعرف باسم GoStealer.
حملات البرامج الضارة السابقة تستخدم تكتيكات إصابة مماثلة
تعكس عملية الإصابة بـ GoStealer بشكل وثيق تلك التي تحدث في FlightNight، حيث تستخدم تكتيكات إغراء تتمحور حول موضوعات الشراء (على سبيل المثال، 'SU-30 Aircraft Procurement.iso') لإلهاء الضحايا بملف شرك. وفي الوقت نفسه، تعمل حمولة السرقة في الخلفية، حيث تقوم بتصفية المعلومات المستهدفة عبر Slack.
من خلال استخدام الأدوات الهجومية المتاحة بسهولة والاستفادة من المنصات الشرعية مثل Slack، والتي توجد عادة في بيئات الشركات، يمكن للجهات الفاعلة في مجال التهديد تبسيط عملياتها، مما يقلل من الوقت ونفقات التطوير مع الحفاظ على مستوى منخفض.
هذه المكاسب في الكفاءة تجعل من السهل على نحو متزايد شن هجمات مستهدفة، حتى أنها تمكن مجرمي الإنترنت الأقل خبرة من التسبب في ضرر كبير للمؤسسات. وهذا يسلط الضوء على الطبيعة المتطورة للتهديدات السيبرانية، حيث تستغل الجهات الفاعلة الخبيثة أدوات ومنصات مفتوحة المصدر يمكن الوصول إليها على نطاق واسع لتحقيق أهدافها مع الحد الأدنى من مخاطر الاكتشاف والاستثمار.
<p/ style=";text-align:right;direction:rtl">
