Zlonamerna programska oprema HackBrowserData Infostealer
Neznani akterji groženj so svojo pozornost usmerili proti indijskim vladnim subjektom in energetskim podjetjem, pri čemer uporabljajo spremenjeno različico odprtokodne zlonamerne programske opreme za krajo informacij, imenovano HackBrowserData. Njihov cilj vključuje izločanje občutljivih podatkov, pri čemer je Slack v nekaterih primerih mehanizem ukazovanja in nadzora (C2). Zlonamerna programska oprema se je širila prek e-poštnih sporočil z lažnim predstavljanjem, zakamufliranih kot vabila, domnevno od indijskih letalskih sil.
Po izvedbi je napadalec izkoristil kanale Slack kot kanale za izločanje različnih oblik občutljivih informacij, vključno z zaupnimi internimi dokumenti, zasebno e-poštno korespondenco in predpomnjenimi podatki spletnega brskalnika. Ocenjuje se, da se je ta dokumentirana kampanja začela v začetku marca 2024.
Kazalo
Kibernetski kriminalci ciljajo na pomembne državne in zasebne subjekte
Obseg škodljive dejavnosti se razteza čez številne vladne subjekte v Indiji in zajema sektorje, kot so elektronske komunikacije, upravljanje IT in nacionalna obramba.
Po poročanju naj bi akter grožnje dejansko vdrl v zasebna energetska podjetja, pridobil finančne dokumente, osebne podatke zaposlenih in podrobnosti v zvezi z vrtanjem nafte in plina. Skupna količina eksfiltriranih podatkov v kampanji znaša približno 8,81 gigabajtov.
Okužna veriga Namestitev spremenjene zlonamerne programske opreme HackBrowserData
Zaporedje napadov se začne s sporočilom z lažnim predstavljanjem, ki vsebuje datoteko ISO z imenom 'invite.iso'. V tej datoteki je bližnjica Windows (LNK), ki aktivira izvajanje skrite binarne datoteke ('scholar.exe'), ki se nahaja v nameščeni sliki optičnega diska.
Hkrati je žrtvi predstavljena zavajajoča datoteka PDF, ki se predstavlja kot vabilo indijskih letalskih sil. Hkrati zlonamerna programska oprema v ozadju diskretno zbira dokumente in predpomnjene podatke spletnega brskalnika ter jih prenaša na kanal Slack pod nadzorom akterja grožnje, imenovanega FlightNight.
Ta zlonamerna programska oprema predstavlja spremenjeno ponovitev HackBrowserData, ki presega začetne funkcije kraje podatkov brskalnika in vključuje zmožnost ekstrahiranja dokumentov (kot so tisti v Microsoft Officeu, PDF-jev in datotek baze podatkov SQL), komuniciranja prek Slacka in uporabe tehnik zakrivanja za izboljšano izogibanje. odkrivanja.
Obstaja sum, da je akter grožnje pridobil vabo PDF med predhodnim vdorom, pri čemer je vedenjske vzporednice mogoče izslediti s kampanjo lažnega predstavljanja, ki je ciljala na indijske letalske sile z uporabo kraja, ki temelji na Go, znanega kot GoStealer.
Prejšnje akcije zlonamerne programske opreme, ki uporabljajo podobne taktike okužbe
Postopek okužbe GoStealer je zelo podoben postopku FlightNight, pri čemer uporablja taktike vab, osredotočene na teme nabave (npr. 'SU-30 Aircraft Procurement.iso'), da žrtve odvrnejo z vabno datoteko. Istočasno koristni tovor kradljivcev deluje v ozadju in izloča ciljne informacije prek Slacka.
Z uporabo takoj dostopnih ofenzivnih orodij in izkoriščanjem zakonitih platform, kot je Slack, ki jih običajno najdemo v podjetniških okoljih, lahko akterji groženj racionalizirajo svoje delovanje, zmanjšajo tako čas kot stroške razvoja, hkrati pa ohranijo nizek profil.
Zaradi te povečane učinkovitosti je izvedba ciljno usmerjenih napadov vedno enostavnejša, manj izkušenim kiberkriminalcem celo omogoča, da povzročijo znatno škodo organizacijam. To poudarja razvijajočo se naravo kibernetskih groženj, kjer zlonamerni akterji izkoriščajo široko dostopna odprtokodna orodja in platforme za doseganje svojih ciljev z minimalnim tveganjem odkrivanja in naložb.
