HackBrowserData Infostealer Kötü Amaçlı Yazılım
Bilinmeyen tehdit aktörleri, HackBrowserData adı verilen açık kaynaklı, bilgi çalan kötü amaçlı yazılımın değiştirilmiş bir versiyonunu kullanarak dikkatlerini Hindistan devlet kurumlarına ve enerji şirketlerine yöneltti. Amaçları, Slack'in belirli durumlarda Komuta ve Kontrol (C2) mekanizması olarak kullanılmasıyla hassas verilerin sızmasını içeriyor. Kötü amaçlı yazılım, Hindistan Hava Kuvvetleri'nden geldiği iddia edilen davetiye mektupları olarak kamufle edilen kimlik avı e-postaları aracılığıyla yayıldı.
Saldırgan, yürütmenin ardından gizli dahili belgeler, özel e-posta yazışmaları ve önbelleğe alınmış Web tarayıcı verileri de dahil olmak üzere çeşitli hassas bilgilerin sızması için Slack kanallarını kanal olarak kullandı. Bu belgelenen kampanyanın Mart 2024'ün başlarında başladığı tahmin edilmektedir.
İçindekiler
Siber Suçlular Önemli Devlet ve Özel Kuruluşları Hedef Alıyor
Zararlı faaliyetin kapsamı Hindistan'daki çok sayıda devlet kurumuna yayılıyor ve elektronik iletişim, BT yönetişimi ve ulusal savunma gibi sektörleri kapsıyor.
Bildirildiğine göre, tehdit aktörü özel enerji şirketlerine etkili bir şekilde sızma gerçekleştirerek mali belgeleri, çalışanların kişisel bilgilerini ve petrol ve gaz sondaj operasyonlarına ilişkin ayrıntıları ele geçirdi. Kampanya boyunca sızdırılan verilerin toplam miktarı yaklaşık 8,81 gigabayttır.
Değiştirilmiş HackBrowserData Kötü Amaçlı Yazılımını Dağıtan Enfeksiyon Zinciri
Saldırı dizisi, 'invite.iso' adlı bir ISO dosyası içeren bir kimlik avı mesajıyla başlar. Bu dosyanın içinde, takılı optik disk görüntüsünde bulunan gizli bir ikili dosyanın ('scholar.exe') yürütülmesini etkinleştiren bir Windows kısayolu (LNK) bulunur.
Eş zamanlı olarak kurbana Hindistan Hava Kuvvetleri'nden gelen davet mektubu gibi görünen yanıltıcı bir PDF dosyası sunulur. Aynı zamanda kötü amaçlı yazılım, arka planda gizlice belgeleri topluyor ve web tarayıcısı verilerini önbelleğe alıyor ve bunları, FlightNight adlı tehdit aktörünün kontrolü altındaki bir Slack kanalına aktarıyor.
Bu kötü amaçlı yazılım, HackBrowserData'nın değiştirilmiş bir yinelemesini temsil ediyor ve başlangıçtaki tarayıcı veri hırsızlığı işlevlerinin ötesine geçerek belgeleri (Microsoft Office, PDF'ler ve SQL veritabanı dosyalarındakiler gibi) çıkarma, Slack aracılığıyla iletişim kurma ve gelişmiş kaçırma için gizleme teknikleri kullanma yeteneğini de içeriyor tespit etme.
Tehdit aktörünün tuzak PDF'yi daha önceki bir izinsiz giriş sırasında ele geçirdiğine dair şüpheler var; davranışsal paralellikler, GoStealer olarak bilinen Go tabanlı bir hırsız kullanan Hindistan Hava Kuvvetlerini hedef alan bir kimlik avı kampanyasına kadar uzanıyor.
Benzer Enfeksiyon Taktiklerini Kullanan Önceki Kötü Amaçlı Yazılım Kampanyaları
GoStealer enfeksiyon süreci, FlightNight'ın sürecini yakından yansıtıyor ve kurbanların dikkatini sahte bir dosyayla dağıtmak için satın alma temaları (örneğin, 'SU-30 Aircraft Procurement.iso') merkezli yem taktikleri kullanıyor. Aynı zamanda, hırsızın veri yükü arka planda çalışarak Slack aracılığıyla hedeflenen bilgileri sızdırıyor.
Tehdit aktörleri, kolayca bulunabilen saldırı araçlarını kullanarak ve kurumsal ortamlarda yaygın olarak bulunan Slack gibi meşru platformlardan yararlanarak operasyonlarını düzene sokabilir, düşük profili korurken hem zaman hem de geliştirme masraflarını azaltabilir.
Bu verimlilik kazanımları, hedefli saldırıların başlatılmasını giderek daha kolay hale getiriyor, hatta daha az deneyimli siber suçluların kuruluşlara ciddi zararlar vermesine olanak tanıyor. Bu, kötü niyetli aktörlerin minimum düzeyde tespit ve yatırım riskiyle hedeflerine ulaşmak için yaygın olarak erişilebilen açık kaynaklı araç ve platformlardan yararlandığı siber tehditlerin gelişen doğasının altını çiziyor.
