HackBrowserData Infostealer Malware
Nepoznati akteri prijetnji svoju su pozornost usmjerili prema indijskim vladinim subjektima i energetskim tvrtkama, koristeći modificiranu varijantu zlonamjernog softvera otvorenog koda za krađu informacija pod nazivom HackBrowserData. Njihov cilj uključuje eksfiltraciju osjetljivih podataka, sa Slackom kao mehanizmom zapovijedanja i kontrole (C2) u određenim slučajevima. Zlonamjerni softver se širio putem phishing e-pošte, zakamuflirane kao pozivna pisma navodno od indijskih zračnih snaga.
Nakon izvršenja, napadač je iskoristio Slack kanale kao kanale za eksfiltraciju različitih oblika osjetljivih informacija, uključujući povjerljive interne dokumente, privatnu korespondenciju e-pošte i predmemorirane podatke web preglednika. Procjenjuje se da je ova dokumentirana kampanja započela početkom ožujka 2024.
Sadržaj
Kibernetički kriminalci ciljaju važne državne i privatne subjekte
Opseg štetne aktivnosti proteže se preko brojnih vladinih tijela u Indiji, obuhvaćajući sektore kao što su elektroničke komunikacije, IT upravljanje i nacionalna obrana.
Navodno je akter prijetnje učinkovito provalio u privatne energetske tvrtke, izvlačeći financijske dokumente, osobne podatke zaposlenika i detalje u vezi s operacijama bušenja nafte i plina. Ukupna količina eksfiltriranih podataka tijekom cijele kampanje iznosi približno 8,81 gigabajta.
Lanac zaraze Uvođenje modificiranog zlonamjernog softvera HackBrowserData
Sekvenca napada započinje porukom za krađu identiteta koja sadrži ISO datoteku pod nazivom 'invite.iso'. Unutar ove datoteke nalazi se Windows prečac (LNK) koji aktivira izvođenje skrivene binarne datoteke ('scholar.exe') koja se nalazi unutar montirane slike optičkog diska.
Istodobno, lažna PDF datoteka koja se predstavlja kao pozivno pismo indijskih zračnih snaga prikazuje se žrtvi. U isto vrijeme, u pozadini, zlonamjerni softver diskretno prikuplja dokumente i predmemorirane podatke web preglednika, prenoseći ih na Slack kanal pod kontrolom aktera prijetnje, označenog kao FlightNight.
Ovaj zlonamjerni softver predstavlja modificiranu iteraciju HackBrowserData, proširujući se izvan njegovih početnih funkcija preglednika za krađu podataka kako bi uključio mogućnost izdvajanja dokumenata (kao što su oni u Microsoft Officeu, PDF-ovi i SQL datoteke baze podataka), komuniciranje putem Slacka i korištenje tehnika maskiranja za poboljšanu evaziju otkrivanja.
Postoji sumnja da je akter prijetnje stekao PDF mamac tijekom prethodnog upada, s paralelama u ponašanju koje se mogu pratiti u kampanji krađe identiteta usmjerenoj na Indijske zračne snage koristeći kradljivca koji se temelji na Go-u poznat kao GoStealer.
Prethodne kampanje zlonamjernog softvera koje koriste slične taktike zaraze
Proces zaraze GoStealer-a blisko odražava onaj od FlightNighta, koristeći taktike mamljenja usredotočene na teme nabave (npr. 'SU-30 Aircraft Procurement.iso') kako bi se žrtvama odvratilo pažnju datotekom mamac. U isto vrijeme, korisni teret kradljivaca radi u pozadini, eksfiltrirajući ciljane informacije putem Slacka.
Korištenjem lako dostupnih ofenzivnih alata i iskorištavanjem legitimnih platformi poput Slacka, koje se obično nalaze u korporativnim okruženjima, akteri prijetnji mogu pojednostaviti svoje operacije, smanjujući i vrijeme i troškove razvoja, a istovremeno održavati niski profil.
Ova povećanja učinkovitosti čine pokretanje ciljanih napada sve jednostavnijim, čak omogućujući manje iskusnim kibernetičkim kriminalcima da nanesu značajnu štetu organizacijama. Ovo naglašava evoluirajuću prirodu cyber prijetnji, gdje zlonamjerni akteri iskorištavaju široko dostupne alate i platforme otvorenog koda kako bi postigli svoje ciljeve uz minimalan rizik otkrivanja i ulaganja.
