Malware i HackBrowserData Infostealer
Aktorët e panjohur të kërcënimit e kanë drejtuar vëmendjen e tyre drejt subjekteve qeveritare indiane dhe kompanive të energjisë, duke përdorur një variant të modifikuar të një malware me burim të hapur që vjedh informacione të quajtur HackBrowserData. Objektivi i tyre përfshin nxjerrjen e të dhënave të ndjeshme, me Slack si një mekanizëm Command-and-Control (C2) në raste të caktuara. Malware u shpërnda përmes emaileve phishing, të kamufluara si letra ftese që supozohet se nga Forcat Ajrore Indiane.
Pas ekzekutimit, sulmuesi përdori kanalet Slack si kanale për nxjerrjen e formave të ndryshme të informacionit të ndjeshëm, duke përfshirë dokumentet e brendshme konfidenciale, korrespondencat private të postës elektronike dhe të dhënat e ruajtura të shfletuesit të internetit. Kjo fushatë e dokumentuar vlerësohet të ketë filluar në fillim të marsit 2024.
Tabela e Përmbajtjes
Kriminelët kibernetikë synojnë qeveri dhe entitete të rëndësishme private
Shtrirja e aktivitetit të dëmshëm shtrihet në shumë entitete qeveritare në Indi, duke përfshirë sektorë të tillë si komunikimet elektronike, qeverisja e TI-së dhe mbrojtja kombëtare.
Thuhet se aktori i kërcënimit ka shkelur në mënyrë efektive kompanitë private të energjisë, duke nxjerrë dokumente financiare, informacione personale të punonjësve dhe detaje në lidhje me operacionet e shpimit të naftës dhe gazit. Sasia totale e të dhënave të ekfiltruara gjatë gjithë fushatës arrin në rreth 8.81 gigabajt.
Zinxhiri i Infeksionit Vendosja e një Malware të Modifikuar HackBrowserData
Sekuenca e sulmit fillon me një mesazh phishing që përmban një skedar ISO të quajtur 'invite.iso'. Brenda këtij skedari gjendet një shkurtore e Windows (LNK) që aktivizon ekzekutimin e një skedari binar të fshehur ('scholar.exe') që ndodhet brenda imazhit të diskut optik të montuar.
Njëkohësisht, viktimës i paraqitet një skedar PDF mashtrues që paraqitet si një letër ftese nga Forcat Ajrore Indiane. Në të njëjtën kohë, në sfond, malware mbledh në mënyrë diskrete dokumentet dhe të dhënat e shfletuesit të uebit të ruajtura në memorie, duke i transmetuar ato në një kanal Slack nën kontrollin e aktorit të kërcënimit, i caktuar FlightNight.
Ky malware përfaqëson një përsëritje të modifikuar të HackBrowserData, duke u shtrirë përtej funksioneve fillestare të vjedhjes së të dhënave të shfletuesit për të përfshirë aftësinë për të nxjerrë dokumente (të tilla si ato në Microsoft Office, skedarët PDF dhe skedarët e bazës së të dhënave SQL), të komunikojë përmes Slack dhe të përdorë teknika mjegullimi për evazion të zgjeruar. të zbulimit.
Ka dyshime se aktori i kërcënimit e ka marrë PDF-në e mashtrimit gjatë një ndërhyrjeje të mëparshme, me paralele të sjelljes të gjurmuara në një fushatë phishing që synonte Forcën Ajrore Indiane duke përdorur një vjedhës me bazë në Go i njohur si GoStealer.
Fushata të mëparshme malware që përdorin taktika të ngjashme infeksioni
Procesi i infektimit me GoStealer pasqyron nga afër atë të FlightNight, duke përdorur taktika joshëse të përqendruara rreth temave të prokurimit (p.sh. 'SU-30 Aircraft Procurement.iso') për të shpërqendruar viktimat me një skedar mashtrimi. Në të njëjtën kohë, ngarkesa e vjedhësit funksionon në sfond, duke nxjerrë informacione të synuara nëpërmjet Slack.
Duke përdorur mjete fyese lehtësisht të disponueshme dhe duke shfrytëzuar platforma legjitime si Slack, që zakonisht gjenden në mjediset e korporatave, aktorët e kërcënimit mund të racionalizojnë operacionet e tyre, duke reduktuar kohën dhe shpenzimet e zhvillimit duke ruajtur një profil të ulët.
Këto përfitime të efikasitetit e bëjnë gjithnjë e më të thjeshtë nisjen e sulmeve të synuara, madje duke u mundësuar kriminelëve kibernetikë me më pak përvojë që të shkaktojnë dëm të konsiderueshëm për organizatat. Kjo nënvizon natyrën në zhvillim të kërcënimeve kibernetike, ku aktorët keqdashës shfrytëzojnë mjete dhe platforma me burim të hapur gjerësisht të aksesueshme për të arritur qëllimet e tyre me rrezik minimal zbulimi dhe investimi.
