HackBrowserData Infostealer 악성코드

알려지지 않은 위협 행위자들은 HackBrowserData라는 오픈 소스 정보 도용 악성 코드의 변형된 변종을 사용하여 인도 정부 기관과 에너지 회사에 관심을 집중했습니다. 이들의 목표는 특정 상황에서 Slack을 명령 및 제어(C2) 메커니즘으로 사용하여 민감한 데이터를 추출하는 것입니다. 이 악성코드는 인도 공군에서 보낸 초대장으로 위장한 피싱 이메일을 통해 유포되었습니다.

공격자는 실행 시 Slack 채널을 기밀 내부 문서, 개인 이메일 서신, 캐시된 웹 브라우저 데이터 등 다양한 형태의 민감한 정보를 유출하는 통로로 활용했습니다. 이 문서화된 캠페인은 2024년 3월 초에 시작된 것으로 추정됩니다.

사이버 범죄자는 중요한 정부 및 민간 기관을 표적으로 삼습니다.

유해한 활동의 범위는 인도의 수많은 정부 기관에 걸쳐 전자 통신, IT 거버넌스, 국방 등의 부문을 포괄합니다.

보도에 따르면 위협 행위자는 민간 에너지 회사에 효과적으로 침입하여 금융 문서, 직원 개인 정보, 석유 및 가스 시추 작업에 관한 세부 정보를 추출했습니다. 캠페인 전반에 걸쳐 유출된 데이터의 총량은 약 8.81GB에 달합니다.

수정된 HackBrowserData 악성코드를 배포하는 감염 체인

공격 순서는 'invite.iso'라는 ISO 파일이 포함된 피싱 메시지로 시작됩니다. 이 파일에는 탑재된 광학 디스크 이미지 내에 있는 숨겨진 바이너리 파일('scholar.exe')의 실행을 활성화하는 Windows 바로 가기(LNK)가 있습니다.

동시에 인도 공군의 초청장으로 가장한 사기성 PDF 파일이 피해자에게 전달됩니다. 동시에, 악성코드는 백그라운드에서 문서와 캐시된 웹 브라우저 데이터를 은밀하게 수집하여 FlightNight로 지정된 위협 행위자의 통제 하에 있는 Slack 채널로 전송합니다.

이 악성코드는 HackBrowserData의 수정된 반복을 나타내며 초기 브라우저 데이터 도난 기능을 넘어 문서 추출(예: Microsoft Office, PDF 및 SQL 데이터베이스 파일 등) 기능을 포함하고 Slack을 통해 통신하며 향상된 회피를 위한 난독화 기술을 사용합니다. 탐지의.

위협 행위자가 이전 침입 중에 미끼 PDF를 획득한 것으로 의심되며, GoStealer로 알려진 Go 기반 스틸러를 활용하여 인도 공군을 대상으로 한 피싱 캠페인과 유사한 행동이 추적되었습니다.

유사한 감염 전술을 활용하는 이전 악성코드 캠페인

GoStealer 감염 프로세스는 FlightNight의 프로세스와 밀접하게 유사하며 조달 테마(예: 'SU-30 Aircraft Procurement.iso')를 중심으로 한 유인 전술을 사용하여 미끼 파일로 피해자의 주의를 분산시킵니다. 동시에 스틸러 페이로드는 백그라운드에서 작동하여 Slack을 통해 표적 정보를 유출합니다.

쉽게 사용할 수 있는 공격 도구를 활용하고 기업 환경에서 흔히 볼 수 있는 Slack과 같은 합법적인 플랫폼을 활용함으로써 위협 행위자는 운영을 간소화하고 눈에 띄지 않게 유지하면서 시간과 개발 비용을 모두 줄일 수 있습니다.

이러한 효율성 향상으로 표적 공격 실행이 점점 더 간편해지고, 경험이 부족한 사이버 범죄자가 조직에 심각한 피해를 입힐 수도 있습니다. 이는 악의적인 행위자가 탐지 및 투자 위험을 최소화하면서 목표를 달성하기 위해 광범위하게 액세스할 수 있는 오픈 소스 도구 및 플랫폼을 악용하는 사이버 위협의 진화하는 특성을 강조합니다.