ХацкБровсерДата Инфостеалер Малвер
Непознати актери претњи усмерили су своју пажњу на индијске владине ентитете и енергетске компаније, користећи модификовану варијанту злонамерног софтвера отвореног кода за крађу информација под називом ХацкБровсерДата. Њихов циљ укључује ексфилтрацију осетљивих података, са Слацк-ом као командним и контролним (Ц2) механизмом у одређеним случајевима. Злонамерни софтвер се ширио путем пхисхинг е-порука, камуфлираних као позивна писма наводно од индијских ваздухопловних снага.
Након извршења, нападач је искористио Слацк канале као канале за ексфилтрацију различитих облика осетљивих информација, укључујући поверљиве интерне документе, приватну е-пошту и кеширане податке веб претраживача. Процењује се да је ова документована кампања почела почетком марта 2024.
Преглед садржаја
Сајбер криминалци на мети важних државних и приватних субјеката
Обим штетне активности се протеже на бројне владине ентитете у Индији, обухватајући секторе као што су електронске комуникације, ИТ управљање и национална одбрана.
Наводно, актер претње је ефективно провалио приватне енергетске компаније, извлачећи финансијске документе, личне податке запослених и детаље у вези са операцијама бушења нафте и гаса. Укупна количина ексфилтрираних података током кампање износи приближно 8,81 гигабајта.
Ланац заразе који примењује модификовани малвер ХацкБровсерДата
Секвенца напада започиње пхисхинг поруком која садржи ИСО датотеку под називом „инвите.исо“. Унутар ове датотеке налази се Виндовс пречица (ЛНК) која активира извршавање скривене бинарне датотеке ('сцхолар.еке') која се налази унутар монтиране слике оптичког диска.
Истовремено, жртви се представља лажни ПДФ фајл који се представља као позивно писмо индијског ваздухопловства. Истовремено, у позадини, злонамерни софтвер дискретно прикупља документе и кеширане податке веб претраживача, преносећи их на Слацк канал под контролом актера претње, назван ФлигхтНигхт.
Овај злонамерни софтвер представља модификовану итерацију ХацкБровсерДата, која се протеже даље од његових почетних функција крађе података претраживача и укључује могућност издвајања докумената (као што су они у Мицрософт Оффице-у, ПДФ-овима и СКЛ датотекама базе података), комуницирање преко Слацк-а и коришћење техника замамљивања за побољшано избегавање детекције.
Постоји сумња да је актер претње набавио лажни ПДФ током претходног упада, са паралелама у понашању које су праћене кампањом фишинга која је циљала на индијско ваздухопловство користећи крадљивац базиран на Го-у познат као ГоСтеалер.
Претходне кампање против злонамерног софтвера које користе сличне тактике заразе
Процес заразе ГоСтеалер-ом блиско одражава процес ФлигхтНигхт-а, користећи тактику мамљења усредсређену на теме набавке (нпр. 'СУ-30 Аирцрафт Процуремент.исо') да би се жртве одвратиле помоћу фајла мамаца. У исто време, корисни терет за крађу ради у позадини, ексфилтрирајући циљане информације преко Слацка.
Коришћењем лако доступних офанзивних алата и коришћењем легитимних платформи као што је Слацк, које се обично налазе у корпоративним окружењима, актери претњи могу да поједноставе своје операције, смањујући и време и трошкове развоја, а да притом задрже низак профил.
Ова побољшања ефикасности чине све једноставнијим покретање циљаних напада, чак и омогућавајући мање искусним сајбер криминалцима да нанесу значајну штету организацијама. Ово наглашава еволуирајућу природу сајбер претњи, где злонамерни актери користе широко доступне алате и платформе отвореног кода како би постигли своје циљеве уз минималан ризик од откривања и улагања.
