„HackBrowserData Infostealer“ kenkėjiška programa
Nežinomi grėsmės veikėjai savo dėmesį nukreipė į Indijos vyriausybės subjektus ir energetikos įmones, naudodamos modifikuotą atvirojo kodo informaciją vagiančios kenkėjiškos programos variantą, pavadintą HackBrowserData. Jų tikslas yra išfiltruoti jautrius duomenis, kai kuriais atvejais naudojant „Slack“ kaip komandų ir valdymo (C2) mechanizmą. Kenkėjiška programa buvo platinama sukčiavimo el. laiškais, paslėptais kaip kvietimai, tariamai iš Indijos oro pajėgų.
Vykdydamas užpuolikas panaudojo „Slack“ kanalus kaip kanalus, skirtus įvairioms slaptos informacijos formoms, įskaitant konfidencialius vidinius dokumentus, privačius el. pašto susirašinėjimus ir talpykloje saugomus žiniatinklio naršyklės duomenis, išfiltruoti. Numatoma, kad ši dokumentuota kampanija prasidės 2024 m. kovo pradžioje.
Turinys
Kibernetiniai nusikaltėliai taikosi į svarbias vyriausybes ir privačius subjektus
Žalinga veikla apima daugybę Indijos vyriausybinių subjektų, įskaitant tokius sektorius kaip elektroniniai ryšiai, IT valdymas ir nacionalinė gynyba.
Pranešama, kad grėsmės veikėjas veiksmingai pažeidė privačias energetikos bendroves, išgaudamas finansinius dokumentus, darbuotojų asmeninę informaciją ir išsamią informaciją apie naftos ir dujų gręžimo operacijas. Bendras išfiltruotų duomenų kiekis kampanijos metu siekia maždaug 8,81 gigabaito.
Infekcijos grandinė, diegianti modifikuotą „HackBrowserData“ kenkėjišką programą
Atakos seka pradedama sukčiavimo pranešimu, kuriame yra ISO failas pavadinimu „invite.iso“. Šiame faile yra „Windows“ spartusis klavišas (LNK), kuris suaktyvina paslėpto dvejetainio failo („scholar.exe“), esančio prijungtame optinio disko atvaizde, vykdymą.
Tuo pačiu metu aukai pateikiamas apgaulingas PDF failas, vaizduojantis Indijos oro pajėgų kvietimą. Tuo pačiu metu, fone kenkėjiška programa diskretiškai renka dokumentus ir talpykloje saugomus žiniatinklio naršyklės duomenis, perduoda juos į „Slack“ kanalą, kurį kontroliuoja grėsmės veikėjas, pavadintas „FlightNight“.
Ši kenkėjiška programa yra modifikuota „HackBrowserData“ iteracija, apimanti ne tik pradines naršyklės duomenų vagystės funkcijas, bet ir galimybę išgauti dokumentus (pvz., esančius „Microsoft Office“, PDF ir SQL duomenų bazės failuose), bendrauti per „Slack“ ir naudoti užmaskavimo metodus, kad būtų išvengta geresnio vengimo. aptikimo.
Kyla įtarimų, kad grėsmės veikėjas apgaulės PDF gavo per ankstesnį įsibrovimą, o elgesio paralelės buvo atsekamos su sukčiavimo kampanija, nukreipta į Indijos oro pajėgas, naudojant „Go“ pagrindu veikiančią vagystę, žinomą kaip „GoStealer“.
Ankstesnės kenkėjiškų programų kampanijos, kuriose naudojama panaši užkrėtimo taktika
„GoStealer“ užkrėtimo procesas labai panašus į „FlightNight“ procesą, pasitelkdamas viliojimo taktiką, orientuotą į pirkimo temas (pvz., „SU-30 Aircraft Procurement.iso“), kad aukų dėmesį atitrauktų viliojimo byla. Tuo pačiu metu vagystės naudingoji apkrova veikia fone, išfiltruodama tikslinę informaciją per „Slack“.
Naudodami lengvai prieinamus įžeidžiančius įrankius ir pasinaudodami teisėtomis platformomis, tokiomis kaip „Slack“, dažniausiai sutinkamomis įmonių aplinkoje, grėsmės subjektai gali supaprastinti savo veiklą, sumažindami laiką ir kūrimo išlaidas, kartu išlaikydami žemą profilį.
Dėl šio efektyvumo padidėjimo tampa vis lengviau pradėti tikslines atakas, net ir mažiau patyrusiems kibernetiniams nusikaltėliams padaryti didelę žalą organizacijoms. Tai pabrėžia besikeičiantį kibernetinių grėsmių pobūdį, kai kenkėjiški veikėjai naudojasi plačiai prieinamais atvirojo kodo įrankiais ir platformomis, kad pasiektų savo tikslus su minimalia aptikimo ir investicijų rizika.
