HackBrowserData Infostealer Malware
Neznámi aktéri hrozieb upriamili svoju pozornosť na indické vládne subjekty a energetické spoločnosti, pričom použili modifikovaný variant malvéru na kradnutie informácií s otvoreným zdrojom s názvom HackBrowserData. Ich cieľom je exfiltrácia citlivých údajov, pričom Slack je v niektorých prípadoch mechanizmom príkazov a ovládania (C2). Malvér sa šíril prostredníctvom phishingových e-mailov maskovaných ako pozývacie listy údajne od indických vzdušných síl.
Po spustení útočník využil kanály Slack ako kanály na prenikanie rôznych foriem citlivých informácií vrátane dôverných interných dokumentov, súkromnej e-mailovej korešpondencie a údajov webového prehliadača uložených vo vyrovnávacej pamäti. Odhaduje sa, že táto zdokumentovaná kampaň sa začala začiatkom marca 2024.
Obsah
Kyberzločinci sa zameriavajú na dôležité vládne a súkromné subjekty
Rozsah škodlivej činnosti sa vzťahuje na početné vládne subjekty v Indii a zahŕňa sektory, ako sú elektronické komunikácie, správa IT a národná obrana.
Údajne aktér hrozby účinne porušil súkromné energetické spoločnosti, pričom získal finančné dokumenty, osobné informácie zamestnancov a podrobnosti týkajúce sa ťažby ropy a zemného plynu. Celkové množstvo exfiltrovaných dát počas kampane predstavuje približne 8,81 gigabajtov.
Infekčný reťazec nasadenie upraveného malvéru HackBrowserData
Sekvencia útoku sa spustí phishingovou správou obsahujúcou súbor ISO s názvom „invite.iso“. V tomto súbore sa nachádza skratka systému Windows (LNK), ktorá aktivuje spustenie skrytého binárneho súboru ('scholar.exe'), ktorý sa nachádza v obraze pripojeného optického disku.
Súčasne je obeti predložený klamlivý súbor PDF, ktorý predstavuje pozývací list od indických vzdušných síl. Zároveň na pozadí malvér diskrétne zhromažďuje dokumenty a údaje webového prehliadača uložené vo vyrovnávacej pamäti a prenáša ich na kanál Slack pod kontrolou aktéra hrozby, označeného ako FlightNight.
Tento malvér predstavuje upravenú iteráciu HackBrowserData, ktorá presahuje jeho počiatočné funkcie na krádež údajov prehliadača a zahŕňa schopnosť extrahovať dokumenty (ako sú dokumenty v balíku Microsoft Office, súbory PDF a databázové súbory SQL), komunikovať cez Slack a využívať techniky zahmlievania pre lepšie úniky. detekcie.
Existuje podozrenie, že aktér hrozby získal návnadu PDF počas predchádzajúceho vniknutia, pričom behaviorálne paralely sa dajú vystopovať k phishingovej kampani zameranej na indické letectvo s využitím zlodeja Go-založeného na GoStealer.
Predchádzajúce malvérové kampane využívajúce podobné taktiky infekcie
Infekčný proces GoStealer presne odzrkadľuje proces FlightNight a využíva taktiku návnady zameranú na témy obstarávania (napr. 'SU-30 Aircraft Procurement.iso'), aby odvrátila pozornosť obetí pomocou návnady. V tom istom čase, užitočné zaťaženie zlodeja funguje na pozadí a exfiltruje cielené informácie cez Slack.
Využitím ľahko dostupných útočných nástrojov a využívaním legitímnych platforiem, ako je Slack, bežne sa vyskytujúce v podnikových prostrediach, môžu aktéri hrozieb zefektívniť svoje operácie, znížiť čas a náklady na vývoj pri zachovaní nízkeho profilu.
Vďaka týmto zvýšeniam efektívnosti je čoraz jednoduchšie spúšťať cielené útoky a dokonca umožňujú menej skúseným kyberzločincom spôsobiť organizáciám značné škody. To podčiarkuje vyvíjajúci sa charakter kybernetických hrozieb, kde záškodníci využívajú široko dostupné open source nástroje a platformy na dosiahnutie svojich cieľov s minimálnym rizikom odhalenia a investícií.
