Зловреден софтуер HackBrowserData Infostealer
Неизвестни заплахи са насочили вниманието си към индийски правителствени организации и енергийни компании, използвайки модифициран вариант на зловреден софтуер с отворен код за кражба на информация, наречен HackBrowserData. Тяхната цел включва ексфилтриране на чувствителни данни, със Slack като механизъм за командване и контрол (C2) в определени случаи. Злонамереният софтуер беше разпространен чрез фишинг имейли, замаскирани като писма с покани, уж от индийските военновъздушни сили.
При изпълнението хакерът е използвал каналите на Slack като канали за ексфилтриране на различни форми на чувствителна информация, включително поверителни вътрешни документи, частна имейл кореспонденция и кеширани данни на уеб браузъра. Смята се, че тази документирана кампания е започнала в началото на март 2024 г.
Съдържание
Киберпрестъпниците се насочват към важни държавни и частни лица
Обхватът на вредната дейност се простира в множество правителствени организации в Индия, обхващайки сектори като електронни комуникации, управление на ИТ и национална отбрана.
Съобщава се, че заплахата ефективно е нарушила частни енергийни компании, извличайки финансови документи, лична информация на служителите и подробности относно операциите по сондиране на нефт и газ. Общото количество ексфилтрирани данни по време на кампанията възлиза на приблизително 8,81 гигабайта.
Инфекционна верига Внедряване на модифициран злонамерен софтуер HackBrowserData
Последователността на атаката започва с фишинг съобщение, съдържащо ISO файл с име „invite.iso“. В този файл се крие пряк път на Windows (LNK), който активира изпълнението на скрит двоичен файл („scholar.exe“), който се намира в монтираното изображение на оптичен диск.
Едновременно с това на жертвата се представя измамен PDF файл, представящ се за писмо-покана от индийските военновъздушни сили. В същото време, във фонов режим, злонамереният софтуер дискретно събира документи и кеширани данни от уеб браузъра, като ги предава на Slack канал под контрола на заплахата, наречен FlightNight.
Този злонамерен софтуер представлява модифицирана итерация на HackBrowserData, разширяваща се отвъд първоначалните си функции за кражба на данни на браузъра, за да включва възможността за извличане на документи (като тези в Microsoft Office, PDF файлове и SQL файлове с бази данни), комуникация чрез Slack и използване на техники за обфускиране за подобрено избягване на откриване.
Има подозрение, че заплахата се е сдобила с PDF примамката по време на предишно проникване, като поведенческите паралели са проследени до фишинг кампания, насочена към индийските военновъздушни сили, използвайки базиран на Go крадец, известен като GoStealer.
Предишни кампании за злонамерен софтуер, използващи подобни тактики за заразяване
Процесът на заразяване на GoStealer отразява точно този на FlightNight, използвайки тактики за примамване, съсредоточени около теми за закупуване (напр. „SU-30 Aircraft Procurement.iso“), за да отвлекат вниманието на жертвите с файл за примамка. В същото време полезният товар крадец работи във фонов режим, ексфилтрирайки целева информация чрез Slack.
Чрез използване на лесно достъпни офанзивни инструменти и легитимни платформи като Slack, често срещани в корпоративната среда, участниците в заплахите могат да рационализират своите операции, намалявайки както времето, така и разходите за разработка, като същевременно поддържат нисък профил.
Тези увеличения на ефективността правят все по-лесно стартирането на целенасочени атаки, като дори позволяват на по-малко опитни киберпрестъпници да причинят значителна вреда на организациите. Това подчертава развиващия се характер на киберзаплахите, при които злонамерените участници експлоатират широко достъпни инструменти и платформи с отворен код, за да постигнат целите си с минимален риск от откриване и инвестиране.
