HackBrowserData มัลแวร์ขโมยข้อมูล

ผู้ก่อภัยคุกคามที่ไม่รู้จักได้มุ่งความสนใจไปที่หน่วยงานรัฐบาลอินเดียและบริษัทพลังงาน โดยใช้มัลแวร์ขโมยข้อมูลโอเพ่นซอร์สที่ได้รับการดัดแปลงซึ่งมีชื่อว่า HackBrowserData วัตถุประสงค์ของพวกเขาเกี่ยวข้องกับการกรองข้อมูลที่ละเอียดอ่อนโดย Slack เป็นกลไก Command-and-Control (C2) ในบางกรณี มัลแวร์แพร่กระจายผ่านอีเมลฟิชชิ่ง โดยปลอมตัวเป็นจดหมายเชิญโดยอ้างว่ามาจากกองทัพอากาศอินเดีย

เมื่อดำเนินการ ผู้โจมตีใช้ช่องทางของ Slack เป็นช่องทางในการกรองข้อมูลที่ละเอียดอ่อนในรูปแบบต่างๆ รวมถึงเอกสารภายในที่เป็นความลับ การติดต่อทางอีเมลส่วนตัว และข้อมูลเว็บเบราว์เซอร์ที่แคชไว้ แคมเปญที่บันทึกไว้นี้คาดว่าจะเริ่มได้ในต้นเดือนมีนาคม 2024

อาชญากรไซเบอร์มุ่งเป้าไปที่หน่วยงานรัฐบาลและเอกชนที่สำคัญ

ขอบเขตของกิจกรรมที่เป็นอันตรายขยายไปทั่วหน่วยงานรัฐบาลหลายแห่งในอินเดีย ครอบคลุมภาคส่วนต่างๆ เช่น การสื่อสารทางอิเล็กทรอนิกส์ การกำกับดูแลด้านไอที และการป้องกันประเทศ

ตามรายงาน ผู้ก่อภัยคุกคามได้ละเมิดบริษัทพลังงานเอกชนอย่างมีประสิทธิภาพ โดยดึงเอกสารทางการเงิน ข้อมูลส่วนบุคคลของพนักงาน และรายละเอียดเกี่ยวกับการดำเนินการขุดเจาะน้ำมันและก๊าซ จำนวนข้อมูลที่ถูกกรองทั้งหมดตลอดทั้งแคมเปญมีมูลค่าประมาณ 8.81 กิกะไบต์

ห่วงโซ่การติดไวรัสที่ปรับใช้มัลแวร์ HackBrowserData ที่ได้รับการดัดแปลง

ลำดับการโจมตีเริ่มต้นด้วยข้อความฟิชชิ่งที่มีไฟล์ ISO ชื่อ 'invite.iso' ภายในไฟล์นี้มีทางลัดของ Windows (LNK) ที่เปิดใช้งานการดำเนินการของไฟล์ไบนารี่ที่ซ่อนอยู่ ('scholar.exe') ซึ่งอยู่ภายในอิมเมจออปติคัลดิสก์ที่เมาท์

ขณะเดียวกัน ไฟล์ PDF หลอกลวงที่แสดงเป็นจดหมายเชิญจากกองทัพอากาศอินเดียก็ถูกนำเสนอต่อเหยื่อ ในเวลาเดียวกัน เบื้องหลัง มัลแวร์จะรวบรวมเอกสารและข้อมูลเว็บเบราว์เซอร์ที่เก็บไว้อย่างรอบคอบ แล้วส่งไปยังช่องทาง Slack ภายใต้การควบคุมของผู้คุกคามที่เรียกว่า FlightNight

มัลแวร์นี้แสดงให้เห็นถึงการเปลี่ยนแปลงซ้ำของ HackBrowserData ซึ่งขยายไปไกลกว่าฟังก์ชันขโมยข้อมูลเบราว์เซอร์เริ่มแรก ซึ่งรวมถึงความสามารถในการแยกเอกสาร (เช่น ใน Microsoft Office, PDF และไฟล์ฐานข้อมูล SQL) สื่อสารผ่าน Slack และใช้เทคนิคการทำให้งงงวยเพื่อการหลบเลี่ยงที่ดียิ่งขึ้น ของการตรวจจับ

มีข้อสงสัยว่าผู้คุกคามได้รับไฟล์ PDF ล่อในระหว่างการบุกรุกครั้งก่อน โดยมีพฤติกรรมที่คล้ายคลึงกันที่เชื่อมโยงกับแคมเปญฟิชชิ่งที่กำหนดเป้าหมายกองทัพอากาศอินเดียโดยใช้ผู้ขโมย Go-based ที่รู้จักกันในชื่อ GoStealer

แคมเปญมัลแวร์ก่อนหน้านี้ใช้กลยุทธ์การติดเชื้อที่คล้ายกัน

กระบวนการติดไวรัส GoStealer สะท้อนอย่างใกล้ชิดกับ FlightNight โดยใช้กลยุทธ์ล่อลวงที่มีศูนย์กลางอยู่ที่ธีมการจัดซื้อจัดจ้าง (เช่น 'SU-30 Aircraft Procurement.iso') เพื่อเบี่ยงเบนความสนใจของเหยื่อด้วยไฟล์ล่อ ในเวลาเดียวกัน เพย์โหลดของผู้ขโมยจะทำงานในเบื้องหลัง โดยกรองข้อมูลเป้าหมายผ่าน Slack

ด้วยการใช้เครื่องมือเชิงรุกที่พร้อมใช้งานและใช้ประโยชน์จากแพลตฟอร์มที่ถูกต้องตามกฎหมาย เช่น Slack ซึ่งพบได้ทั่วไปในสภาพแวดล้อมขององค์กร ผู้แสดงภัยคุกคามสามารถปรับปรุงการดำเนินงานของตน ลดทั้งเวลาและค่าใช้จ่ายในการพัฒนาในขณะที่ยังคงรักษาโปรไฟล์ที่ต่ำ

ประสิทธิภาพที่เพิ่มขึ้นเหล่านี้ทำให้การโจมตีแบบกำหนดเป้าหมายเป็นเรื่องง่ายมากขึ้น แม้กระทั่งช่วยให้อาชญากรไซเบอร์ที่มีประสบการณ์น้อยสามารถก่อให้เกิดอันตรายร้ายแรงต่อองค์กรได้ สิ่งนี้ตอกย้ำถึงลักษณะการพัฒนาของภัยคุกคามทางไซเบอร์ โดยที่ผู้ประสงค์ร้ายใช้ประโยชน์จากเครื่องมือและแพลตฟอร์มโอเพ่นซอร์สที่เข้าถึงได้อย่างกว้างขวาง เพื่อบรรลุเป้าหมายโดยมีความเสี่ยงในการตรวจจับและการลงทุนน้อยที่สุด