Phần mềm độc hại HackBrowserData đánh cắp thông tin
Các tác nhân đe dọa không xác định đã hướng sự chú ý của họ tới các tổ chức chính phủ và công ty năng lượng Ấn Độ, sử dụng một biến thể sửa đổi của phần mềm độc hại đánh cắp thông tin nguồn mở có tên là HackBrowserData. Mục tiêu của họ liên quan đến việc lọc dữ liệu nhạy cảm, với Slack là cơ chế Ra lệnh và Kiểm soát (C2) trong một số trường hợp nhất định. Phần mềm độc hại đã được phát tán thông qua các email lừa đảo, được ngụy trang dưới dạng thư mời được cho là từ Lực lượng Không quân Ấn Độ.
Sau khi thực thi, kẻ tấn công đã tận dụng các kênh Slack làm đường dẫn để lấy cắp nhiều dạng thông tin nhạy cảm khác nhau, bao gồm các tài liệu nội bộ bí mật, thư từ email riêng tư và dữ liệu trình duyệt Web được lưu trong bộ nhớ đệm. Chiến dịch được ghi lại bằng tài liệu này ước tính đã bắt đầu vào đầu tháng 3 năm 2024.
Mục lục
Tội phạm mạng nhắm mục tiêu vào các tổ chức tư nhân và chính phủ quan trọng
Phạm vi của hoạt động có hại trải rộng trên nhiều cơ quan chính phủ ở Ấn Độ, bao gồm các lĩnh vực như truyền thông điện tử, quản trị CNTT và quốc phòng.
Được biết, kẻ đe dọa đã xâm nhập một cách hiệu quả các công ty năng lượng tư nhân, trích xuất các tài liệu tài chính, thông tin cá nhân của nhân viên và thông tin chi tiết liên quan đến hoạt động khoan dầu khí. Tổng lượng dữ liệu được lọc trong suốt chiến dịch lên tới khoảng 8,81 gigabyte.
Chuỗi lây nhiễm Triển khai phần mềm độc hại HackBrowserData đã được sửa đổi
Chuỗi tấn công bắt đầu bằng một thông báo lừa đảo chứa tệp ISO có tên 'invite.iso.' Trong tệp này có một lối tắt Windows (LNK) kích hoạt việc thực thi tệp nhị phân bị ẩn ('scholar.exe') nằm trong hình ảnh đĩa quang được gắn.
Đồng thời, một tệp PDF lừa đảo giả dạng thư mời của Lực lượng Không quân Ấn Độ được đưa cho nạn nhân. Đồng thời, ở chế độ nền, phần mềm độc hại thu thập các tài liệu và dữ liệu trình duyệt web được lưu trong bộ nhớ đệm một cách kín đáo, truyền chúng đến kênh Slack dưới sự kiểm soát của tác nhân đe dọa, được chỉ định là FlightNight.
Phần mềm độc hại này đại diện cho một phiên bản sửa đổi của HackBrowserData, vượt ra ngoài các chức năng đánh cắp dữ liệu trình duyệt ban đầu của nó để bao gồm khả năng trích xuất tài liệu (chẳng hạn như các tài liệu trong Microsoft Office, tệp PDF và cơ sở dữ liệu SQL), giao tiếp qua Slack và sử dụng các kỹ thuật che giấu để tăng cường khả năng trốn tránh. của việc phát hiện.
Có sự nghi ngờ rằng kẻ đe dọa đã lấy được PDF mồi nhử trong một lần xâm nhập trước đó, với các hành vi tương tự bắt nguồn từ một chiến dịch lừa đảo nhắm vào Lực lượng Không quân Ấn Độ bằng cách sử dụng một kẻ đánh cắp dựa trên cờ vây có tên là GoStealer.
Các chiến dịch phần mềm độc hại trước đây sử dụng các chiến thuật lây nhiễm tương tự
Quá trình lây nhiễm của GoStealer phản ánh chặt chẽ quá trình lây nhiễm của FlightNight, sử dụng các chiến thuật thu hút tập trung vào các chủ đề mua sắm (ví dụ: 'SU-30 Aircraft Procurement.iso') để đánh lạc hướng nạn nhân bằng một tệp mồi nhử. Đồng thời, trọng tải của kẻ đánh cắp hoạt động ở chế độ nền, lọc thông tin được nhắm mục tiêu thông qua Slack.
Bằng cách sử dụng các công cụ tấn công sẵn có và tận dụng các nền tảng hợp pháp như Slack, thường thấy trong môi trường doanh nghiệp, các tác nhân đe dọa có thể hợp lý hóa hoạt động của mình, giảm cả thời gian và chi phí phát triển trong khi vẫn duy trì mức độ kín đáo.
Những lợi ích về hiệu quả này khiến việc thực hiện các cuộc tấn công có mục tiêu trở nên ngày càng đơn giản, thậm chí còn tạo điều kiện cho tội phạm mạng ít kinh nghiệm hơn gây ra tổn hại đáng kể cho các tổ chức. Điều này nhấn mạnh bản chất ngày càng gia tăng của các mối đe dọa mạng, trong đó các tác nhân độc hại khai thác các công cụ và nền tảng nguồn mở có thể truy cập rộng rãi để đạt được mục tiêu của chúng với rủi ro bị phát hiện và đầu tư tối thiểu.
