תוכנה זדונית של HackBrowserData Infostealer
גורמי איומים לא ידועים הפנו את תשומת לבם כלפי גופים ממשלתיים וחברות אנרגיה בהודו, תוך שימוש בגרסה שונה של תוכנת זדונית גניבת מידע בקוד פתוח, המכונה HackBrowserData. המטרה שלהם כרוכה בסינון נתונים רגישים, עם Slack כמנגנון פיקוד ושליטה (C2) במקרים מסוימים. התוכנה הזדונית הופצה באמצעות הודעות דוא"ל פישינג, שהוסוו כמכתבי הזמנה, לכאורה מחיל האוויר ההודי.
עם ביצועו, התוקף מינף את ערוצי Slack כצינורות לסינון צורות שונות של מידע רגיש, כולל מסמכים פנימיים סודיים, התכתבויות דוא"ל פרטיות ונתוני דפדפן אינטרנט מאוחסנים. ההערכה היא שהקמפיין המתועד הזה התחיל בתחילת מרץ 2024.
תוכן העניינים
פושעי סייבר מכוונים לגופים ממשלתיים ופרטיים חשובים
היקף הפעילות המזיקה משתרע על פני ישויות ממשלתיות רבות בהודו, וכולל מגזרים כמו תקשורת אלקטרונית, ממשל IT והגנה לאומית.
לפי הדיווחים, שחקן האיום פרץ למעשה חברות אנרגיה פרטיות, חילץ מסמכים פיננסיים, מידע אישי של העובדים ופרטים לגבי פעולות קידוח נפט וגז. הכמות הכוללת של נתונים שחולצו לאורך הקמפיין מסתכמת בכ-8.81 גיגה-בייט.
שרשרת זיהום פריסת תוכנת זדונית של HackBrowserData שונה
רצף ההתקפה מתחיל עם הודעת פישינג המכילה קובץ ISO בשם 'invite.iso'. בתוך קובץ זה נמצא קיצור דרך של Windows (LNK) שמפעיל את הביצוע של קובץ בינארי נסתר ('scholar.exe') השוכן בתוך תמונת הדיסק האופטי המותקן.
במקביל, מוצג לקורבן קובץ PDF מטעה המתחזה כמכתב הזמנה מחיל האוויר ההודי. במקביל, ברקע, התוכנה הזדונית אוספת בדיסקרטיות מסמכים ונתוני דפדפן אינטרנט מאוחסנים במטמון, ומשדרת אותם לערוץ Slack בשליטה של שחקן האיום, בשם FlightNight.
תוכנה זדונית זו מייצגת איטרציה שונה של HackBrowserData, המתרחבת מעבר לפונקציות גניבת הנתונים הראשוניות בדפדפן וכוללת את היכולת לחלץ מסמכים (כגון אלה ב-Microsoft Office, קבצי PDF וקבצי מסד נתונים של SQL), לתקשר באמצעות Slack ולהשתמש בטכניקות ערפול להתחמקות משופרת. של גילוי.
קיים חשד ששחקן האיום רכש את ה-PDF המטעה במהלך חדירה קודמת, עם הקבלות התנהגותיות לקמפיין דיוג המכוון לחיל האוויר ההודי באמצעות גנב מבוסס Go המכונה GoStealer.
מסעות פרסום קודמים של תוכנות זדוניות המשתמשות בטקטיקות זיהום דומות
תהליך ההדבקה של GoStealer משקף באופן הדוק את זה של FlightNight, תוך שימוש בטקטיקות פיתוי המתמקדות בנושאי רכש (למשל, 'SU-30 Aircraft Procurement.iso') כדי להסיח את דעתם של הקורבנות באמצעות קובץ הטעיה. במקביל, מטען הגנב פועל ברקע, ומחלץ מידע ממוקד באמצעות Slack.
על ידי שימוש בכלים התקפיים זמינים ומינוף פלטפורמות לגיטימיות כמו Slack, הנפוצות בסביבות ארגוניות, גורמי איומים יכולים לייעל את הפעילות שלהם, להפחית הן את הוצאות הפיתוח והן בזמן, תוך שמירה על פרופיל נמוך.
רווחי היעילות הללו הופכים את זה לפשוט יותר ויותר לבצע התקפות ממוקדות, ואפילו מאפשרות לפושעי סייבר פחות מנוסים לגרום נזק משמעותי לארגונים. זה מדגיש את האופי המתפתח של איומי הסייבר, שבהם שחקנים זדוניים מנצלים כלים ופלטפורמות קוד פתוח נגישים באופן נרחב כדי להשיג את מטרותיהם במינימום סיכון לאיתור והשקעה.
<p/ style=";text-align:right;direction:rtl">
