بدافزار HackBrowserData Infostealer
عوامل تهدید ناشناخته توجه خود را به سمت نهادهای دولتی و شرکت های انرژی هند معطوف کرده اند و از یک نوع اصلاح شده از بدافزار سرقت اطلاعات منبع باز به نام HackBrowserData استفاده می کنند. هدف آنها شامل استخراج داده های حساس، با Slack به عنوان یک مکانیسم فرمان و کنترل (C2) در موارد خاص است. این بدافزار از طریق ایمیلهای فیشینگ منتشر شد که به عنوان دعوتنامههای ظاهراً از طرف نیروی هوایی هند پنهان شده بود.
پس از اجرا، مهاجم از کانالهای Slack بهعنوان مجاری برای استخراج اشکال مختلف اطلاعات حساس، از جمله اسناد داخلی محرمانه، مکاتبات ایمیل خصوصی و دادههای حافظه پنهان مرورگر وب استفاده کرد. تخمین زده می شود که این کمپین مستند در اوایل مارس 2024 آغاز شده باشد.
فهرست مطالب
مجرمان سایبری نهادهای مهم دولتی و خصوصی را هدف قرار می دهند
دامنه فعالیت مضر در سراسر بسیاری از نهادهای دولتی در هند، شامل بخش هایی مانند ارتباطات الکترونیکی، حاکمیت فناوری اطلاعات و دفاع ملی است.
بر اساس گزارشها، عامل تهدید به طور مؤثری شرکتهای انرژی خصوصی را نقض کرده و اسناد مالی، اطلاعات شخصی کارکنان و جزئیات مربوط به عملیات حفاری نفت و گاز را استخراج کرده است. مقدار کل داده های استخراج شده در طول کمپین تقریباً 8.81 گیگابایت است.
زنجیره عفونت استقرار بدافزار HackBrowserData اصلاح شده
توالی حمله با یک پیام فیشینگ حاوی یک فایل ISO به نام "invite.iso" آغاز می شود. در این فایل یک میانبر ویندوز (LNK) قرار دارد که اجرای یک فایل باینری پنهان ('scholar.exe') را که در تصویر دیسک نوری نصب شده قرار دارد، فعال می کند.
همزمان، یک فایل پی دی اف فریبنده که به عنوان یک دعوت نامه از نیروی هوایی هند به قربانی ارائه می شود. در همان زمان، در پسزمینه، بدافزار به طور محتاطانه اسناد و دادههای حافظه پنهان مرورگر وب را جمعآوری میکند و آنها را به یک کانال Slack تحت کنترل عامل تهدید، به نام FlightNight، منتقل میکند.
این بدافزار یک تکرار اصلاح شده از HackBrowserData را نشان میدهد که فراتر از عملکردهای اولیه سرقت دادههای مرورگر آن است و شامل توانایی استخراج اسناد (مانند اسناد موجود در مایکروسافت آفیس، فایلهای PDF و فایلهای پایگاه داده SQL)، برقراری ارتباط از طریق Slack و استفاده از تکنیکهای مبهمسازی برای افزایش فرار است. تشخیص
این ظن وجود دارد که عامل تهدید، پی دی اف فریبنده را طی یک نفوذ قبلی به دست آورده است، با تشابهات رفتاری به یک کمپین فیشینگ که نیروی هوایی هند را هدف قرار می دهد و از یک دزد مبتنی بر Go معروف به GoStealer استفاده می کند.
کمپین های بدافزار قبلی با استفاده از تاکتیک های مشابه عفونت
فرآیند آلودگی GoStealer دقیقاً منعکس کننده روند FlightNight است، و از تاکتیکهای فریبنده متمرکز بر موضوعات خرید (به عنوان مثال، 'SU-30 Aircraft Procurement.iso') استفاده میکند تا حواس قربانیان را با یک فایل فریب منحرف کند. در همان زمان، محموله دزد در پسزمینه عمل میکند و اطلاعات هدفمند را از طریق Slack استخراج میکند.
با استفاده از ابزارهای تهاجمی در دسترس و استفاده از پلتفرمهای قانونی مانند Slack که معمولاً در محیطهای شرکتی یافت میشود، بازیگران تهدید میتوانند عملیات خود را سادهتر کنند و در عین حال که مشخصات پایینی دارند، هم هزینههای زمان و هم توسعه را کاهش دهند.
این دستاوردهای کارآیی، راه اندازی حملات هدفمند را به طور فزاینده ای ساده می کند، حتی به مجرمان سایبری کم تجربه این امکان را می دهد که آسیب قابل توجهی به سازمان ها وارد کنند. این امر بر ماهیت در حال تحول تهدیدات سایبری تاکید می کند، جایی که بازیگران مخرب از ابزارها و پلتفرم های منبع باز بسیار قابل دسترسی برای دستیابی به اهداف خود با حداقل خطر شناسایی و سرمایه گذاری سوء استفاده می کنند.
<p/ style=";text-align:right;direction:rtl">