HackBrowserData Infostealer -haittaohjelma
Tuntemattomat uhkatoimijat ovat kohdistaneet huomionsa Intian hallituksen yksiköihin ja energiayhtiöihin käyttämällä muunneltua muunnelmaa avoimen lähdekoodin tietoa varastavasta haittaohjelmasta nimeltä HackBrowserData. Niiden tavoitteena on arkaluontoisten tietojen suodattaminen ja joissain tapauksissa Slackin komento- ja ohjausmekanismi (C2). Haittaohjelma levitettiin tietojenkalasteluviestien kautta, jotka oli naamioitu Intian ilmavoimien kutsukirjeiksi.
Suorituksen yhteydessä hyökkääjä hyödynsi Slackin kanavia kanavina erilaisten arkaluontoisten tietojen, mukaan lukien luottamuksellisten sisäisten asiakirjojen, yksityisten sähköpostien kirjeenvaihdon ja välimuistissa olevien verkkoselaintietojen, suodattamiseen. Tämän dokumentoidun kampanjan arvioidaan alkaneen maaliskuun alussa 2024.
Sisällysluettelo
Kyberrikolliset kohdistuvat tärkeisiin viranomaisiin ja yksityisiin tahoihin
Haitallisen toiminnan laajuus ulottuu useisiin Intian valtion yksiköihin, ja se kattaa muun muassa sähköisen viestinnän, IT-hallinnon ja maanpuolustuksen.
Raporttien mukaan uhkatekijä on murtautunut yksityisiin energiayhtiöihin ja poiminut taloudellisia asiakirjoja, työntekijöiden henkilötietoja sekä tietoja öljyn ja kaasun poraustoiminnasta. Kampanjan aikana kerätyn datan kokonaismäärä on noin 8,81 gigatavua.
Infektioketju, joka ottaa käyttöön muokatun HackBrowserData-haittaohjelman
Hyökkäyssarja alkaa tietojenkalasteluviestillä, joka sisältää ISO-tiedoston nimeltä "invite.iso". Tässä tiedostossa on Windows-pikakuvake (LNK), joka aktivoi asennetun optisen levyn kuvan sisällä olevan piilotetun binaaritiedoston ('scholar.exe') suorittamisen.
Samalla uhrille esitetään petollinen PDF-tiedosto, joka esiintyy kutsukirjeenä Intian ilmavoimista. Samanaikaisesti haittaohjelma kerää taustalla huomaamattomasti asiakirjoja ja välimuistissa olevia selaintietoja ja välittää ne uhkatoimijan hallinnassa olevalle Slack-kanavalle, nimeltä FlightNight.
Tämä haittaohjelma edustaa HackBrowserDatan muokattua iteraatiota, joka ulottuu sen alkuperäisiä selaintietovarkaustoimintoja pidemmälle ja sisältää mahdollisuuden poimia asiakirjoja (kuten Microsoft Officessa, PDF-tiedostoissa ja SQL-tietokantatiedostoissa), kommunikoida Slackin kautta ja käyttää hämärtymistekniikoita tehostettuun kiertoon. havaitsemisesta.
Uhkailijan epäillään hankkineen houkutus-PDF:n aiemman tunkeutumisen aikana, ja käyttäytymisyhteiskuntaa voidaan jäljittää Intian ilmavoimiin kohdistuneeseen tietojenkalastelukampanjaan, jossa käytettiin GoStealer-nimistä ryöstäjää.
Aiemmat haittaohjelmakampanjat, joissa hyödynnettiin samanlaisia tartuntataktiikoita
GoStealer-tartuntaprosessi heijastaa tiiviisti FlightNightin tapaa, ja se käyttää houkutustaktiikoita, jotka keskittyvät hankintateemoihin (esim. "SU-30 Aircraft Procurement.iso") uhrien huomion häiritsemiseksi houkutustiedostolla. Samaan aikaan varastaja hyötykuorma toimii taustalla ja suodattaa kohdennettua tietoa Slackin kautta.
Hyödyntämällä helposti saatavilla olevia hyökkääviä työkaluja ja hyödyntämällä laillisia alustoja, kuten Slackia, joita yleisesti löytyy yritysympäristöistä, uhkatoimijat voivat virtaviivaistaa toimintaansa, mikä vähentää sekä aikaa että kehityskuluja säilyttäen samalla matalan profiilin.
Nämä tehokkuuden lisäykset tekevät kohdistettujen hyökkäysten käynnistämisestä entistä helpompaa, ja jopa vähemmän kokeneet kyberrikolliset voivat aiheuttaa merkittävää vahinkoa organisaatioille. Tämä korostaa kyberuhkien kehittyvää luonnetta, jossa haitalliset toimijat käyttävät hyväkseen laajalti saatavilla olevia avoimen lähdekoodin työkaluja ja alustoja saavuttaakseen tavoitteensa minimaalisella havaitsemis- ja investointiriskillä.
