HackBrowserData Infostealer pahavara
Tundmatud ohus osalejad on suunanud oma tähelepanu India valitsusüksustele ja energiaettevõtetele, kasutades avatud lähtekoodiga teavet varastava pahavara modifitseeritud varianti, mille nimi on HackBrowserData. Nende eesmärk hõlmab tundlike andmete väljafiltreerimist, kasutades teatud juhtudel Slacki käsu-ja juhtimismehhanismina (C2). Pahavara levitati andmepüügimeilide kaudu, mis maskeeriti väidetavalt India õhujõudude kutsekirjadena.
Täitmisel kasutas ründaja Slacki kanaleid eri vormide tundliku teabe, sealhulgas konfidentsiaalsete sisedokumentide, privaatsete meilikirjade ja vahemällu salvestatud veebibrauseri andmete väljafiltreerimiseks. See dokumenteeritud kampaania algas hinnanguliselt 2024. aasta märtsi alguses.
Sisukord
Küberkurjategijad sihivad olulisi valitsus- ja eraettevõtteid
Kahjuliku tegevuse ulatus ulatub India paljude valitsusasutusteni, hõlmates selliseid sektoreid nagu elektrooniline side, IT-juhtimine ja riigikaitse.
Väidetavalt on ohus osaleja tõhusalt rikkunud eraenergiaettevõtteid, hankides finantsdokumente, töötajate isikuandmeid ning nafta- ja gaasipuurimistoimingute üksikasju. Kogu kampaania jooksul väljafiltreeritud andmete kogumaht on ligikaudu 8,81 gigabaiti.
Nakkusahel, mis juurutab muudetud HackBrowserData pahavara
Rünnaku jada algab andmepüügisõnumiga, mis sisaldab ISO-faili nimega „invite.iso”. Selles failis on Windowsi otsetee (LNK), mis aktiveerib ühendatud optilise ketta kujutises asuva peidetud binaarfaili ('scholar.exe') täitmise.
Samal ajal esitatakse ohvrile petlik PDF-fail, mis kujutab endast India õhujõudude kutsekirja. Samal ajal kogub pahavara taustal diskreetselt dokumente ja vahemällu salvestatud veebibrauseri andmeid, edastades need ohutegija kontrolli all olevasse Slacki kanalisse, mille nimi on FlightNight.
See pahavara kujutab endast HackBrowserData modifitseeritud iteratsiooni, mis ulatub kaugemale brauseri algsetest andmevarguse funktsioonidest, hõlmates võimalust hankida dokumente (nt Microsoft Office'i, PDF-ide ja SQL-i andmebaasifailide failid), suhelda Slacki kaudu ja kasutada hägustamise tehnikaid, et tõhustada kõrvalehoidmist. avastamise kohta.
Kahtlustatakse, et ähvardaja omandas peibutus-PDF-i eelneva sissetungi käigus, kusjuures käitumise paralleelid on leitud India õhujõududele suunatud andmepüügikampaaniast, kasutades GoStealeri nime all tuntud Go-põhist varast.
Eelmised pahavarakampaaniad, mis kasutasid sarnast nakatumistaktikat
GoStealeri nakatumisprotsess peegeldab täpselt FlightNighti oma, kasutades peibutustaktikat, mis keskendub hanketeemadele (nt 'SU-30 Aircraft Procurement.iso'), et juhtida ohvrite tähelepanu peibutusfaili abil. Samal ajal töötab varastaja kasulik koormus taustal, väljutades sihitud teavet Slacki kaudu.
Kasutades hõlpsasti kättesaadavaid ründavaid tööriistu ja võimendades legitiimseid platvorme, nagu Slack, mida tavaliselt leidub ettevõtte keskkondades, saavad ohus osalejad oma tegevust sujuvamaks muuta, vähendades nii aja- kui arenduskulusid, säilitades samal ajal madala profiili.
Need tõhususe kasvud muudavad sihipäraste rünnakute käivitamise üha lihtsamaks, võimaldades isegi vähem kogenud küberkurjategijatel organisatsioonidele olulist kahju tekitada. See rõhutab küberohtude arenevat olemust, kus pahatahtlikud osalejad kasutavad laialdaselt juurdepääsetavaid avatud lähtekoodiga tööriistu ja platvorme, et saavutada oma eesmärgid minimaalse avastamis- ja investeerimisriskiga.
