HackBrowserData Infostealer Malware
Neznámí aktéři hrozeb zaměřili svou pozornost na indické vládní subjekty a energetické společnosti a použili upravenou variantu open source malwaru pro krádeže informací s názvem HackBrowserData. Jejich cílem je exfiltrace citlivých dat, přičemž Slack je v určitých případech mechanismem Command-and-Control (C2). Malware byl šířen prostřednictvím phishingových e-mailů, maskovaných jako zvací dopisy údajně od indického letectva.
Po spuštění útočník využil kanály Slack jako kanály pro exfiltraci různých forem citlivých informací, včetně důvěrných interních dokumentů, soukromé e-mailové korespondence a dat webového prohlížeče uložených v mezipaměti. Odhaduje se, že tato zdokumentovaná kampaň začne na začátku března 2024.
Obsah
Kyberzločinci se zaměřují na důležité vládní a soukromé subjekty
Rozsah škodlivé činnosti se vztahuje na řadu vládních subjektů v Indii a zahrnuje sektory, jako jsou elektronické komunikace, správa IT a národní obrana.
Údajně aktér hrozby účinně narušil soukromé energetické společnosti, vytěžil finanční dokumenty, osobní údaje zaměstnanců a podrobnosti týkající se těžby ropy a zemního plynu. Celkové množství exfiltrovaných dat během kampaně činí přibližně 8,81 gigabajtů.
Infekční řetězec Nasazení upraveného malwaru HackBrowserData
Sekvence útoku se zahájí phishingovou zprávou obsahující soubor ISO s názvem 'invite.iso'. V tomto souboru se nachází zkratka Windows (LNK), která aktivuje spuštění skrytého binárního souboru ('scholar.exe') umístěného v připojeném obrazu optického disku.
Současně je oběti předložen klamavý soubor PDF, který se vydává za zvací dopis od indického letectva. Malware zároveň na pozadí diskrétně shromažďuje dokumenty a data webového prohlížeče uložená v mezipaměti a přenáší je do kanálu Slack pod kontrolou aktéra hrozby, označeného FlightNight.
Tento malware představuje upravenou iteraci HackBrowserData, která přesahuje jeho původní funkce pro odcizení dat prohlížeče a zahrnuje schopnost extrahovat dokumenty (jako jsou dokumenty v Microsoft Office, PDF a databázové soubory SQL), komunikovat přes Slack a využívat techniky zmatku pro lepší úniky. detekce.
Existuje podezření, že aktér hrozby získal návnadu PDF během předchozího vniknutí, přičemž paralely chování lze vysledovat k phishingové kampani zaměřené na indické letectvo využívající zloděje založeného na Go známého jako GoStealer.
Předchozí malwarové kampaně využívající podobné taktiky infekce
Proces infekce GoStealer úzce kopíruje proces FlightNight a využívá taktiku návnady zaměřenou na témata nákupu (např. 'SU-30 Aircraft Procurement.iso'), aby odvedla pozornost obětí pomocí návnady. Ve stejné době, užitečné zatížení zloděje funguje na pozadí a exfiltruje cílené informace přes Slack.
Využitím snadno dostupných útočných nástrojů a využití legitimních platforem, jako je Slack, běžně se vyskytující v podnikových prostředích, mohou aktéři hrozeb zefektivnit své operace, snížit čas i náklady na vývoj při zachování nízkého profilu.
Díky těmto zvýšením efektivity je stále jednodušší spouštět cílené útoky a dokonce umožňují méně zkušeným kyberzločincům způsobit organizacím značné škody. To podtrhuje vyvíjející se povahu kybernetických hrozeb, kdy záškodníci využívají široce dostupné open source nástroje a platformy k dosažení svých cílů s minimálním rizikem odhalení a investic.
