HackBrowserData Infostealer Malware

অজানা হুমকি অভিনেতারা ভারতীয় সরকারী সংস্থা এবং শক্তি সংস্থাগুলির দিকে তাদের দৃষ্টি আকর্ষণ করেছে, একটি ওপেন-সোর্স তথ্য-চুরিকারী ম্যালওয়্যার হ্যাক ব্রাউজারডেটা ডাব করার একটি পরিবর্তিত রূপ নিযুক্ত করেছে। তাদের উদ্দেশ্য কিছু নির্দিষ্ট ক্ষেত্রে কমান্ড-এন্ড-কন্ট্রোল (C2) প্রক্রিয়া হিসাবে স্ল্যাক সহ সংবেদনশীল ডেটা উত্তোলন জড়িত। ম্যালওয়্যারটি ফিশিং ইমেলের মাধ্যমে ছড়িয়ে দেওয়া হয়েছিল, ভারতীয় বিমান বাহিনীর কাছ থেকে আমন্ত্রণ পত্র হিসাবে ছদ্মবেশিত।

মৃত্যুদন্ড কার্যকর করার পরে, আক্রমণকারী গোপনীয় অভ্যন্তরীণ নথি, ব্যক্তিগত ইমেল চিঠিপত্র এবং ক্যাশ করা ওয়েব ব্রাউজার ডেটা সহ বিভিন্ন ধরণের সংবেদনশীল তথ্য বের করার জন্য স্ল্যাক চ্যানেলগুলিকে ব্যবহার করে। এই নথিভুক্ত প্রচারাভিযানটি মার্চ 2024 এর প্রথম দিকে শুরু হয়েছে বলে অনুমান করা হচ্ছে।

সাইবার অপরাধীরা গুরুত্বপূর্ণ সরকারী এবং বেসরকারী সংস্থাগুলিকে লক্ষ্য করে

ক্ষতিকারক কার্যকলাপের পরিধি ভারতের অসংখ্য সরকারী সংস্থা জুড়ে বিস্তৃত, ইলেকট্রনিক যোগাযোগ, আইটি গভর্নেন্স এবং জাতীয় প্রতিরক্ষার মতো সেক্টরগুলিকে অন্তর্ভুক্ত করে৷

প্রতিবেদনে বলা হয়েছে, হুমকি অভিনেতা কার্যকরভাবে বেসরকারী শক্তি সংস্থাগুলি লঙ্ঘন করেছেন, আর্থিক নথি, কর্মচারীদের ব্যক্তিগত তথ্য এবং তেল ও গ্যাস ড্রিলিং অপারেশন সম্পর্কিত বিশদ সংগ্রহ করেছেন। প্রচারাভিযান জুড়ে উত্তোলিত ডেটার মোট পরিমাণ প্রায় 8.81 গিগাবাইট।

সংক্রমণ চেইন একটি পরিবর্তিত হ্যাক ব্রাউজার ডেটা ম্যালওয়্যার স্থাপন করছে

আক্রমণের ক্রমটি 'invite.iso' নামে একটি ISO ফাইল ধারণকারী ফিশিং বার্তা দিয়ে শুরু হয়। এই ফাইলের মধ্যে একটি উইন্ডোজ শর্টকাট (LNK) রয়েছে যা মাউন্ট করা অপটিক্যাল ডিস্ক চিত্রের মধ্যে থাকা একটি গোপন বাইনারি ফাইল ('scholar.exe') কার্যকর করে।

একই সাথে, ভারতীয় বিমান বাহিনীর একটি আমন্ত্রণ পত্র হিসাবে একটি প্রতারণামূলক পিডিএফ ফাইল ভিকটিমকে উপস্থাপন করা হয়েছে। একই সময়ে, ব্যাকগ্রাউন্ডে, ম্যালওয়্যারটি সতর্কতার সাথে ডকুমেন্ট এবং ক্যাশে করা ওয়েব ব্রাউজার ডেটা সংগ্রহ করে, হুমকি অভিনেতার নিয়ন্ত্রণে একটি স্ল্যাক চ্যানেলে প্রেরণ করে, মনোনীত ফ্লাইটনাইট।

এই ম্যালওয়্যারটি হ্যাকব্রাউজারডেটার একটি পরিবর্তিত পুনরাবৃত্তির প্রতিনিধিত্ব করে, এটির প্রাথমিক ব্রাউজার ডেটা চুরির ফাংশনগুলির বাইরে প্রসারিত করে ডকুমেন্টগুলি (যেমন মাইক্রোসফ্ট অফিস, পিডিএফ এবং SQL ডাটাবেস ফাইলগুলিতে থাকা), স্ল্যাকের মাধ্যমে যোগাযোগ করার ক্ষমতা অন্তর্ভুক্ত করে, এবং বর্ধিত ফাঁকি দেওয়ার জন্য অস্পষ্টতা কৌশল নিয়োগ করে। সনাক্তকরণ

সন্দেহ আছে যে হুমকি অভিনেতা একটি পূর্বে অনুপ্রবেশের সময় ডিকয় পিডিএফ অর্জন করেছিলেন, আচরণগত সমান্তরাল একটি ফিশিং প্রচারাভিযানের সাথে চিহ্নিত করা হয়েছে যা ভারতীয় বিমান বাহিনীকে GoStealer নামে পরিচিত একটি গো-ভিত্তিক চুরি ব্যবহার করে লক্ষ্য করে।

পূর্ববর্তী ম্যালওয়্যার প্রচারণা অনুরূপ সংক্রমণ কৌশল ব্যবহার করে

GoStealer সংক্রমণ প্রক্রিয়াটি ফ্লাইটনাইটের সাথে ঘনিষ্ঠভাবে প্রতিফলিত হয়, প্রকোরমেন্ট থিমগুলির (যেমন, 'SU-30 এয়ারক্রাফ্ট Procurement.iso') কেন্দ্রিক প্রলোভন কৌশল নিযুক্ত করে যাতে একটি ডিকয় ফাইলের মাধ্যমে ক্ষতিগ্রস্তদের বিভ্রান্ত করা যায়। একই সময়ে, স্টিলার পেলোড ব্যাকগ্রাউন্ডে কাজ করে, স্ল্যাকের মাধ্যমে লক্ষ্যযুক্ত তথ্য বের করে।

সহজলভ্য আক্রমণাত্মক সরঞ্জামগুলি ব্যবহার করে এবং সাধারণত কর্পোরেট পরিবেশে পাওয়া Slack-এর মতো বৈধ প্ল্যাটফর্মগুলি ব্যবহার করে, হুমকি অভিনেতারা তাদের ক্রিয়াকলাপগুলিকে স্ট্রিমলাইন করতে পারে, একটি কম প্রোফাইল বজায় রেখে সময় এবং উন্নয়ন ব্যয় উভয়ই হ্রাস করতে পারে।

এই দক্ষতা অর্জনগুলি লক্ষ্যবস্তু আক্রমণগুলিকে ক্রমবর্ধমান সহজ করে তোলে, এমনকি কম-অভিজ্ঞ সাইবার অপরাধীদের সংগঠনগুলির উল্লেখযোগ্য ক্ষতি করতে সক্ষম করে৷ এটি সাইবার হুমকির ক্রমবিকাশশীল প্রকৃতিকে আন্ডারস্কোর করে, যেখানে দূষিত অভিনেতারা সনাক্তকরণ এবং বিনিয়োগের ন্যূনতম ঝুঁকি সহ তাদের লক্ষ্য অর্জনের জন্য ব্যাপকভাবে অ্যাক্সেসযোগ্য ওপেন-সোর্স সরঞ্জাম এবং প্ল্যাটফর্ম ব্যবহার করে।