មេរោគ HackBrowserData Infostealer

តួអង្គគម្រាមកំហែងដែលមិនស្គាល់បានដឹកនាំការយកចិត្តទុកដាក់របស់ពួកគេចំពោះអង្គភាពរដ្ឋាភិបាល និងក្រុមហ៊ុនថាមពលរបស់ឥណ្ឌា ដោយប្រើប្រាស់បំរែបំរួលបំរែបំរួលនៃមេរោគដែលលួចព័ត៌មានប្រភពបើកចំហរដែលមានឈ្មោះថា HackBrowserData ។ គោលបំណងរបស់ពួកគេពាក់ព័ន្ធនឹងការដកយកទិន្នន័យរសើប ដោយមាន Slack ជាយន្តការ Command-and-Control (C2) នៅក្នុងករណីមួយចំនួន។ មេរោគនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈអ៊ីមែលបន្លំ ដែលក្លែងបន្លំជាលិខិតអញ្ជើញដែលបញ្ជាក់ដោយកងទ័ពអាកាសឥណ្ឌា។

នៅពេលប្រតិបត្តិ អ្នកវាយប្រហារបានប្រើប្រាស់បណ្តាញ Slack ជាឧបករណ៍សម្រាប់ទាញយកទម្រង់ផ្សេងៗនៃព័ត៌មានរសើប រួមទាំងឯកសារខាងក្នុងសម្ងាត់ ការឆ្លើយឆ្លងអ៊ីមែលឯកជន និងទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលលាក់ទុក។ យុទ្ធនាការដែលបានចងក្រងជាឯកសារនេះត្រូវបានគេប៉ាន់ស្មានថាបានចាប់ផ្តើមនៅដើមខែមីនា ឆ្នាំ 2024។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំណត់គោលដៅសំខាន់របស់រដ្ឋាភិបាល និងអង្គភាពឯកជន

វិសាលភាពនៃសកម្មភាពបង្កគ្រោះថ្នាក់នេះលាតសន្ធឹងលើអង្គភាពរដ្ឋាភិបាលជាច្រើននៅក្នុងប្រទេសឥណ្ឌា ដោយគ្របដណ្តប់លើវិស័យដូចជា ទំនាក់ទំនងអេឡិចត្រូនិក ការគ្រប់គ្រងព័ត៌មានវិទ្យា និងការការពារជាតិ។

តាមសេចក្តីរាយការណ៍ ភ្នាក់ងារគំរាមកំហែងបានបំពានយ៉ាងមានប្រសិទ្ធភាពលើក្រុមហ៊ុនថាមពលឯកជន ទាញយកឯកសារហិរញ្ញវត្ថុ ព័ត៌មានផ្ទាល់ខ្លួនរបស់បុគ្គលិក និងព័ត៌មានលម្អិតទាក់ទងនឹងប្រតិបត្តិការខួងយកប្រេង និងឧស្ម័ន។ ចំនួនសរុបនៃទិន្នន័យដែលបានបន្សល់ទុកនៅទូទាំងយុទ្ធនាការមានចំនួនប្រហែល 8.81 ជីហ្គាបៃ។

ខ្សែសង្វាក់ឆ្លងមេរោគ ការដាក់ពង្រាយមេរោគ HackBrowserData Malware ដែលបានកែប្រែ

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងសារបន្លំដែលមានឯកសារ ISO ដែលមានឈ្មោះថា 'invite.iso ។ នៅក្នុងឯកសារនេះមានផ្លូវកាត់វីនដូ (LNK) ដែលដំណើរការដំណើរការនៃឯកសារគោលពីរដែលបានលាក់ ('scholar.exe') ដែលស្ថិតនៅក្នុងរូបភាពថាសអុបទិកដែលបានម៉ោន។

ជាមួយគ្នានេះ ឯកសារ PDF បោកបញ្ឆោតដែលដាក់ជាលិខិតអញ្ជើញរបស់កងទ័ពអាកាសឥណ្ឌាត្រូវបានបង្ហាញដល់ជនរងគ្រោះ។ ក្នុងពេលជាមួយគ្នានេះ នៅក្នុងផ្ទៃខាងក្រោយ មេរោគប្រមូលផ្តុំឯកសារ និងទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតក្នុងឃ្លាំងសម្ងាត់ ដោយបញ្ជូនពួកគេទៅកាន់ប៉ុស្តិ៍ Slack ក្រោមការគ្រប់គ្រងរបស់តួអង្គគំរាមកំហែង ដែលត្រូវបានកំណត់ថា FlightNight ។

មេរោគនេះតំណាងឱ្យការកែប្រែឡើងវិញនៃ HackBrowserData ដែលលាតសន្ធឹងលើសពីមុខងារលួចទិន្នន័យកម្មវិធីរុករកដំបូងរបស់វា ដើម្បីរួមបញ្ចូលសមត្ថភាពក្នុងការទាញយកឯកសារ (ដូចជាឯកសារនៅក្នុង Microsoft Office, PDFs និង SQL) ទំនាក់ទំនងតាមរយៈ Slack និងប្រើប្រាស់បច្ចេកទេសធ្វើឱ្យខូចគុណភាពសម្រាប់ការគេចវេស។ នៃការរកឃើញ។

មានការសង្ស័យថា តួអង្គគំរាមកំហែងបានទទួល PDF បោកបញ្ឆោត កំឡុងពេលមានការឈ្លានពានពីមុន ដោយមានអាកប្បកិរិយាស្រដៀងគ្នាទៅនឹងយុទ្ធនាការបន្លំដែលផ្តោតលើកងទ័ពអាកាសឥណ្ឌាដោយប្រើអ្នកលួចដែលមានមូលដ្ឋានលើ Go ដែលត្រូវបានគេស្គាល់ថា GoStealer ។

យុទ្ធនាការ Malware ពីមុនប្រើវិធីសាស្ត្រឆ្លងមេរោគស្រដៀងគ្នា

ដំណើរការឆ្លងមេរោគ GoStealer ឆ្លុះបញ្ចាំងយ៉ាងដិតដល់ថា FlightNight ប្រើល្បិចទាក់ទាញដែលផ្តោតលើប្រធានបទលទ្ធកម្ម (ឧទាហរណ៍ 'SU-30 Aircraft Procurement.iso') ដើម្បីបង្វែរជនរងគ្រោះដោយឯកសារបញ្ឆោត។ ក្នុងពេលជាមួយគ្នានេះ payload របស់លួចធ្វើប្រតិបត្តិការក្នុងផ្ទៃខាងក្រោយ ដោយទាញយកព័ត៌មានគោលដៅតាមរយៈ Slack ។

តាមរយៈការប្រើប្រាស់ឧបករណ៍វាយលុកដែលអាចរកបានយ៉ាងងាយស្រួល និងប្រើប្រាស់វេទិកាស្របច្បាប់ដូចជា Slack ដែលត្រូវបានរកឃើញជាទូទៅនៅក្នុងបរិយាកាសសាជីវកម្ម តួអង្គគំរាមកំហែងអាចសម្រួលប្រតិបត្តិការរបស់ពួកគេ កាត់បន្ថយទាំងការចំណាយពេលវេលា និងការអភិវឌ្ឍន៍ ខណៈពេលដែលរក្សាទម្រង់ទាប។

ការទទួលបានប្រសិទ្ធភាពទាំងនេះធ្វើឱ្យវាកាន់តែសាមញ្ញក្នុងការចាប់ផ្តើមការវាយប្រហារតាមគោលដៅ សូម្បីតែអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលមិនសូវមានបទពិសោធន៍ក្នុងការបង្កគ្រោះថ្នាក់ដល់អង្គការនានា។ នេះគូសបញ្ជាក់អំពីលក្ខណៈវិវត្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត ដែលតួអង្គព្យាបាទទាញយកឧបករណ៍ និងវេទិកាប្រភពបើកចំហដែលអាចចូលដំណើរការបានយ៉ាងទូលំទូលាយ ដើម្បីសម្រេចបាននូវគោលដៅរបស់ពួកគេជាមួយនឹងហានិភ័យតិចតួចបំផុតនៃការរកឃើញ និងការវិនិយោគ។