Złośliwe oprogramowanie HackBrowserData kradnące informacje
Nieznani ugrupowania zagrażające skierowały swoją uwagę na indyjskie podmioty rządowe i przedsiębiorstwa energetyczne, wykorzystując zmodyfikowany wariant szkodliwego oprogramowania o otwartym kodzie źródłowym kradnącego informacje, zwanego HackBrowserData. Ich celem jest eksfiltracja wrażliwych danych, przy czym w niektórych przypadkach Slack pełni funkcję mechanizmu dowodzenia i kontroli (C2). Szkodnik był rozpowszechniany za pośrednictwem wiadomości e-mail phishingowych, zakamuflowanych jako zaproszenia rzekomo od indyjskich sił powietrznych.
Po wykonaniu ataku osoba atakująca wykorzystała kanały Slack jako kanały do eksfiltracji różnych form poufnych informacji, w tym poufnych dokumentów wewnętrznych, prywatnej korespondencji e-mail i buforowanych danych przeglądarki internetowej. Szacuje się, że ta udokumentowana kampania rozpoczęła się na początku marca 2024 r.
Spis treści
Cyberprzestępcy atakują ważne podmioty rządowe i prywatne
Zasięg szkodliwej działalności obejmuje wiele jednostek rządowych w Indiach i obejmuje takie sektory, jak komunikacja elektroniczna, zarządzanie IT i obrona narodowa.
Według doniesień ugrupowanie zagrażające skutecznie włamało się do prywatnych firm energetycznych, wydobywając dokumenty finansowe, dane osobowe pracowników oraz szczegóły dotyczące operacji wiertniczych ropy i gazu. Łączna ilość danych wydobytych w trakcie kampanii wynosi około 8,81 gigabajtów.
Łańcuch infekcji wdrażający zmodyfikowane złośliwe oprogramowanie HackBrowserData
Sekwencja ataku rozpoczyna się od wiadomości phishingowej zawierającej plik ISO o nazwie „invite.iso”. W pliku tym znajduje się skrót systemu Windows (LNK), który aktywuje wykonanie ukrytego pliku binarnego („scholar.exe”) znajdującego się w zamontowanym obrazie dysku optycznego.
Jednocześnie ofierze prezentowany jest zwodniczy plik PDF udający zaproszenie od indyjskich sił powietrznych. Jednocześnie w tle szkodliwe oprogramowanie dyskretnie gromadzi dokumenty i buforuje dane przeglądarki internetowej, przesyłając je do kanału Slack kontrolowanego przez cyberprzestępcę, zwanego FlightNight.
To złośliwe oprogramowanie stanowi zmodyfikowaną wersję HackBrowserData, wykraczającą poza początkowe funkcje kradzieży danych przeglądarki, obejmującą możliwość wyodrębniania dokumentów (takich jak pliki pakietu Microsoft Office, pliki PDF i pliki baz danych SQL), komunikowania się za pośrednictwem Slacka i stosowania technik zaciemniania w celu lepszego uniknięcia oszustw wykrywania.
Istnieje podejrzenie, że osoba zagrażająca zdobyła fałszywy plik PDF podczas wcześniejszego włamania, przy czym podobieństwa w zachowaniu można znaleźć w kampanii phishingowej wymierzonej w indyjskie siły powietrzne, wykorzystującej złodzieja opartego na Go, znanego jako GoStealer.
Poprzednie kampanie złośliwego oprogramowania wykorzystujące podobne taktyki infekcji
Proces infekcji GoStealer jest bardzo podobny do procesu FlightNight i wykorzystuje taktykę przynęty skupioną wokół tematów zakupów (np. „SU-30 Aircraft Procurement.iso”) w celu odwrócenia uwagi ofiar za pomocą pliku wabika. Jednocześnie złodziej działa w tle, wydobywając wybrane informacje za pośrednictwem Slacka.
Wykorzystując łatwo dostępne narzędzia ofensywne i legalne platformy, takie jak Slack, powszechnie spotykane w środowiskach korporacyjnych, cyberprzestępcy mogą usprawnić swoje działania, redukując czas i wydatki na rozwój, zachowując jednocześnie dyskrecję.
Ten wzrost wydajności sprawia, że przeprowadzanie ataków ukierunkowanych staje się coraz prostsze, umożliwiając nawet mniej doświadczonym cyberprzestępcom wyrządzenie znacznych szkód organizacjom. Podkreśla to ewoluujący charakter zagrożeń cybernetycznych, w przypadku których szkodliwi przestępcy wykorzystują szeroko dostępne narzędzia i platformy typu open source, aby osiągnąć swoje cele przy minimalnym ryzyku wykrycia i inwestycji.
