HackBrowserData Infostealer Malware
Okända hotaktörer har riktat sin uppmärksamhet mot indiska statliga enheter och energibolag, och använder en modifierad variant av en öppen källkodsstöldande skadlig programvara kallad HackBrowserData. Deras mål innebär att exfiltrera känslig data, med Slack som en kommando-och-kontroll (C2) mekanism i vissa fall. Skadlig programvara spreds genom nätfiske-e-post, kamouflerad som inbjudningsbrev påstås ha kommit från det indiska flygvapnet.
Vid avrättningen utnyttjade angriparen Slack-kanaler som kanaler för att exfiltrera olika former av känslig information, inklusive konfidentiella interna dokument, privata e-postkorrespondenser och cachad webbläsardata. Denna dokumenterade kampanj beräknas ha påbörjats i början av mars 2024.
Innehållsförteckning
Cyberbrottslingar riktar sig mot viktiga statliga och privata enheter
Omfattningen av den skadliga verksamheten sträcker sig över många statliga enheter i Indien, och omfattar sektorer som elektronisk kommunikation, IT-styrning och nationellt försvar.
Enligt uppgift har hotaktören effektivt gjort intrång i privata energibolag, extraherat finansiella dokument, personalens personliga information och detaljer om olje- och gasborrningsoperationer. Den totala mängden exfiltrerad data under hela kampanjen uppgår till cirka 8,81 gigabyte.
Infektionskedjan distribuerar en modifierad HackBrowserData-malware
Attacksekvensen initieras med ett nätfiskemeddelande som innehåller en ISO-fil med namnet 'invite.iso'. Inom denna fil finns en Windows-genväg (LNK) som aktiverar exekveringen av en dold binär fil ('scholar.exe') som finns i den monterade optiska skivavbildningen.
Samtidigt presenteras en vilseledande PDF-fil som poserar som ett inbjudningsbrev från det indiska flygvapnet för offret. Samtidigt, i bakgrunden, samlar skadlig programvara diskret in dokument och cachad webbläsardata och överför dem till en Slack-kanal under kontroll av hotaktören, kallad FlightNight.
Den här skadliga programvaran representerar en modifierad iteration av HackBrowserData, som sträcker sig bortom dess ursprungliga webbläsardatastöldfunktioner och inkluderar möjligheten att extrahera dokument (som de i Microsoft Office, PDF-filer och SQL-databasfiler), kommunicera via Slack och använda fördunklingstekniker för förbättrad evasion av upptäckt.
Det finns misstankar om att hotaktören skaffade lockbets-PDF-filen under ett tidigare intrång, med beteendemässiga paralleller spårade till en nätfiskekampanj riktad mot det indiska flygvapnet med en Go-baserad stjälare känd som GoStealer.
Tidigare skadlig programvara som använder liknande infektionstaktik
GoStealers infektionsprocess återspeglar nära FlightNights, med hjälp av lockbetetaktik centrerad kring upphandlingsteman (t.ex. 'SU-30 Aircraft Procurement.iso') för att distrahera offer med en lockbete. Samtidigt arbetar stealer-nyttolasten i bakgrunden och exfiltrerar riktad information via Slack.
Genom att använda lättillgängliga offensiva verktyg och utnyttja legitima plattformar som Slack, som vanligtvis finns i företagsmiljöer, kan hotaktörer effektivisera sin verksamhet, minska både tid och utvecklingskostnader samtidigt som de håller en låg profil.
Dessa effektivitetsvinster gör det allt enklare att starta riktade attacker, vilket till och med gör det möjligt för mindre erfarna cyberbrottslingar att orsaka betydande skada på organisationer. Detta understryker utvecklingen av cyberhot, där illvilliga aktörer utnyttjar allmänt tillgängliga verktyg och plattformar med öppen källkod för att uppnå sina mål med minimal risk för upptäckt och investeringar.
