HackBrowserData Infostealer Malware
Ismeretlen fenyegetés szereplői az indiai kormányzati szervekre és energiavállalatokra irányították figyelmüket, a nyílt forráskódú információlopó rosszindulatú program módosított változatát, a HackBrowserData-t alkalmazva. Céljuk az érzékeny adatok kiszűrése, bizonyos esetekben a Slack Command-and-Control (C2) mechanizmussal. A rosszindulatú programot adathalász e-maileken keresztül terjesztették, amelyeket állítólag az Indiai Légierőtől származó meghívólevélként álcáztak.
Végrehajtáskor a támadó a Slack csatornákat használta fel a különféle érzékeny információk kiszűrésére, beleértve a bizalmas belső dokumentumokat, a privát e-mail levelezést és a gyorsítótárazott webböngészőadatokat. Ez a dokumentált kampány a becslések szerint 2024 márciusának elején kezdődött.
Tartalomjegyzék
A kiberbűnözők fontos kormányzati és magánszervezeteket céloznak meg
A káros tevékenység hatóköre számos kormányzati szervre kiterjed Indiában, és olyan ágazatokra is kiterjed, mint az elektronikus kommunikáció, az IT-irányítás és a honvédelem.
A jelentések szerint a fenyegetőző ténylegesen feltörte a magán energetikai vállalatokat, pénzügyi dokumentumokat, alkalmazottak személyes adatait, valamint az olaj- és gázfúrási műveletekkel kapcsolatos részleteket kinyerve. A kampány során kiszűrt adatok teljes mennyisége körülbelül 8,81 gigabájt.
Fertőzési lánc módosított HackBrowserData rosszindulatú program telepítése
A támadássorozat egy adathalász üzenettel indul, amely egy „invite.iso” nevű ISO-fájlt tartalmaz. Ebben a fájlban található egy Windows parancsikon (LNK), amely aktiválja egy rejtett bináris fájl ("scholar.exe") végrehajtását, amely a csatlakoztatott optikai lemezképben található.
Ezzel párhuzamosan egy megtévesztő PDF-fájlt is bemutatnak az áldozatnak, amely meghívólevélnek adja ki magát az Indiai Légierőtől. Ugyanakkor a háttérben a kártevő diszkréten összegyűjti a dokumentumokat és a gyorsítótárban tárolt webböngésző-adatokat, és továbbítja azokat a fenyegetettség szereplője, a FlightNight irányítása alatt álló Slack csatornára.
Ez a rosszindulatú program a HackBrowserData módosított iterációja, amely túlmutat a böngésző kezdeti adatlopási funkcióin, és magában foglalja a dokumentumok (például a Microsoft Office-ban lévők, a PDF-ek és az SQL-adatbázisfájlok) kibontásának, a Slack-en keresztüli kommunikációnak és az elrejtési technikák alkalmazásának lehetőségét a fokozott kijátszás érdekében. az észlelés.
Fennáll a gyanú, hogy a fenyegetőző egy korábbi behatolás során szerezte meg a csaló PDF-fájlt, és viselkedési párhuzamok egy adathalász kampányra vezethetők vissza, amely az Indiai Légierőt célozta meg egy Go-alapú, GoStealer néven ismert lopóval.
Korábbi rosszindulatú programkampányok, amelyek hasonló fertőzési taktikákat alkalmaztak
A GoStealer fertőzési folyamat szorosan tükrözi a FlightNight folyamatát, a beszerzési témák köré összpontosuló csalogató taktikát alkalmazva (pl. „SU-30 Aircraft Procurement.iso”), hogy egy csalifájllal elterelje az áldozatok figyelmét. Ugyanakkor a lopakodó hasznos terhelés a háttérben működik, és a Slacken keresztül kiszűri a célzott információkat.
A könnyen elérhető támadó eszközök felhasználásával és a legális platformok, például a vállalati környezetben gyakran előforduló Slack kihasználásával a fenyegetés szereplői egyszerűsíthetik működésüket, csökkentve az idő- és a fejlesztési költségeket, miközben alacsony profilt tartanak fenn.
Ezek a hatékonyságnövekedés egyre egyszerűbbé teszik a célzott támadások indítását, még a kevésbé tapasztalt kiberbűnözők számára is lehetővé teszik, hogy jelentős károkat okozzanak a szervezeteknek. Ez aláhúzza a kiberfenyegetések fejlődő természetét, ahol a rosszindulatú szereplők széles körben hozzáférhető nyílt forráskódú eszközöket és platformokat használnak ki céljaik elérése érdekében, minimális észlelési és befektetési kockázattal.
