HackBrowserData Infostealer मैलवेयर
अज्ञात खतरे वाले अभिनेताओं ने अपना ध्यान भारतीय सरकारी संस्थाओं और ऊर्जा कंपनियों की ओर केंद्रित किया है, जिसमें हैकब्राउज़रडेटा नामक एक ओपन-सोर्स सूचना-चोरी मैलवेयर के संशोधित संस्करण का उपयोग किया गया है। उनका उद्देश्य कुछ मामलों में कमांड-एंड-कंट्रोल (C2) तंत्र के रूप में स्लैक के साथ संवेदनशील डेटा को बाहर निकालना शामिल है। मैलवेयर को फ़िशिंग ईमेल के माध्यम से प्रसारित किया गया था, जिसे भारतीय वायु सेना से कथित तौर पर निमंत्रण पत्रों के रूप में छिपाया गया था।
निष्पादन के बाद, हमलावर ने गोपनीय आंतरिक दस्तावेजों, निजी ईमेल पत्राचार और कैश्ड वेब ब्राउज़र डेटा सहित विभिन्न प्रकार की संवेदनशील जानकारी को बाहर निकालने के लिए स्लैक चैनलों का लाभ उठाया। यह प्रलेखित अभियान मार्च 2024 की शुरुआत में शुरू होने का अनुमान है।
विषयसूची
साइबर अपराधी महत्वपूर्ण सरकारी और निजी संस्थाओं को निशाना बना रहे हैं
हानिकारक गतिविधि का दायरा भारत में कई सरकारी संस्थाओं तक फैला हुआ है, जिसमें इलेक्ट्रॉनिक संचार, आईटी गवर्नेंस और राष्ट्रीय रक्षा जैसे क्षेत्र शामिल हैं।
रिपोर्ट के अनुसार, धमकी देने वाले व्यक्ति ने निजी ऊर्जा कंपनियों में सेंध लगाकर वित्तीय दस्तावेज, कर्मचारियों की व्यक्तिगत जानकारी और तेल एवं गैस ड्रिलिंग संचालन से संबंधित विवरण निकाल लिए हैं। अभियान के दौरान निकाले गए डेटा की कुल मात्रा लगभग 8.81 गीगाबाइट है।
संक्रमण श्रृंखला एक संशोधित HackBrowserData मैलवेयर तैनात
आक्रमण का क्रम एक फ़िशिंग संदेश से शुरू होता है, जिसमें 'invite.iso' नामक ISO फ़ाइल होती है। इस फ़ाइल के भीतर एक विंडोज़ शॉर्टकट (LNK) होता है, जो माउंटेड ऑप्टिकल डिस्क इमेज के भीतर स्थित एक छिपी हुई बाइनरी फ़ाइल ('scholar.exe') के निष्पादन को सक्रिय करता है।
साथ ही, भारतीय वायुसेना के आमंत्रण पत्र के रूप में एक भ्रामक पीडीएफ फाइल पीड़ित को प्रस्तुत की जाती है। उसी समय, पृष्ठभूमि में, मैलवेयर चुपके से दस्तावेज़ों और कैश्ड वेब ब्राउज़र डेटा को इकट्ठा करता है, और उन्हें फ्लाइटनाइट नामक खतरे वाले अभिनेता के नियंत्रण में एक स्लैक चैनल पर भेजता है।
यह मैलवेयर HackBrowserData का एक संशोधित संस्करण है, जो अपने प्रारंभिक ब्राउज़र डेटा चोरी कार्यों से आगे बढ़कर दस्तावेजों (जैसे कि माइक्रोसॉफ्ट ऑफिस, पीडीएफ और SQL डेटाबेस फ़ाइलों में) को निकालने, स्लैक के माध्यम से संचार करने और पता लगाने से बचने के लिए अस्पष्टीकरण तकनीकों का उपयोग करने की क्षमता को शामिल करता है।
संदेह है कि धमकी देने वाले ने पूर्व घुसपैठ के दौरान फर्जी पीडीएफ हासिल किया था, तथा व्यवहारिक समानताएं भारतीय वायु सेना को लक्षित करने वाले फिशिंग अभियान से जुड़ी हैं, जिसके लिए गोस्टीलर नामक गो-आधारित चोर का उपयोग किया गया था।
इसी तरह की संक्रमण रणनीति का उपयोग करने वाले पिछले मैलवेयर अभियान
GoStealer संक्रमण प्रक्रिया बारीकी से FlightNight को प्रतिबिंबित करती है, जो एक डिकॉय फ़ाइल के साथ पीड़ितों का ध्यान भटकाने के लिए खरीद विषयों (उदाहरण के लिए, 'SU-30 Aircraft Procurement.iso') के आसपास केंद्रित लालच रणनीति का उपयोग करती है। उसी समय, चोरी करने वाला पेलोड पृष्ठभूमि में काम करता है, स्लैक के माध्यम से लक्षित जानकारी को बाहर निकालता है।
आसानी से उपलब्ध आक्रामक उपकरणों का उपयोग करके और स्लैक जैसे वैध प्लेटफार्मों का लाभ उठाकर, जो आमतौर पर कॉर्पोरेट वातावरण में पाए जाते हैं, खतरे वाले अभिनेता अपने संचालन को सुव्यवस्थित कर सकते हैं, कम प्रोफ़ाइल बनाए रखते हुए समय और विकास खर्च दोनों को कम कर सकते हैं।
ये दक्षता लाभ लक्षित हमलों को लॉन्च करना आसान बनाते हैं, यहां तक कि कम-अनुभवी साइबर अपराधियों को संगठनों को महत्वपूर्ण नुकसान पहुंचाने में सक्षम बनाते हैं। यह साइबर खतरों की उभरती प्रकृति को रेखांकित करता है, जहां दुर्भावनापूर्ण अभिनेता पता लगाने और निवेश के न्यूनतम जोखिम के साथ अपने लक्ष्यों को प्राप्त करने के लिए व्यापक रूप से सुलभ ओपन-सोर्स टूल और प्लेटफार्मों का उपयोग करते हैं।
