印度政府实体和能源单位已成为未知威胁参与者的攻击目标,目的是提供名为 HackBrowserData 的开源信息窃取恶意软件的修改版本,并在某些情况下通过使用 Slack 作为命令和控制 (C2) 来窃取敏感信息。
EclecticIQ 研究员 Arda Büyükkaya在发布的一份报告中表示:“信息窃取者是通过网络钓鱼电子邮件发送的,伪装成印度空军的邀请函。”
“攻击者利用 Slack 通道作为渗透点,在恶意软件执行后上传机密内部文档、私人电子邮件和缓存的网络浏览器数据。”
荷兰网络安全公司从 2024 年 3 月 7 日开始观察该活动,代号为“FlightNight 行动”,以参考对方运营的 Slack 渠道。
恶意活动的目标涵盖印度多个政府实体,其中包括与电子通信、IT 治理和国防相关的实体。
据称,威胁行为者已成功入侵私营能源公司,获取财务文件、员工个人信息以及石油和天然气钻探活动的详细信息。总共约有 8.81 GB 的数据在该活动过程中被泄露。
攻击链以包含 ISO 文件(“invite.iso”)的网络钓鱼消息开始,该文件又包含一个 Windows 快捷方式(LNK),该快捷方式会触发执行存在于该文件中的隐藏二进制文件(“scholar.exe”)。已安装的光盘映像。
同时,向受害者显示一个声称是印度空军邀请函的诱饵 PDF 文件,同时恶意软件秘密收集文档和缓存的网络浏览器数据,并将其传输到由攻击者控制的名为 FlightNight 的 Slack 频道。
该恶意软件是HackBrowserData的修改版本,它超越了浏览器数据窃取功能,还包含虹吸文档(Microsoft Office、PDF 和 SQL 数据库文件)、通过 Slack 进行通信以及使用混淆技术更好地逃避检测的功能。
怀疑威胁行为者在之前的入侵中窃取了诱饵 PDF,其行为相似之处可以追溯到使用基于 Go 的名为 GoStealer 的窃取程序针对印度空军的网络钓鱼活动。
一位别名为 xelemental ( @ElementalX2 ) 的印度安全研究人员于 2024 年 1 月中旬披露了该活动的详细信息。
GoStealer 感染序列实际上与 FlightNight 相同,采用采购主题诱饵(“SU-30 Aircraft Procurement.iso”)来显示诱饵文件,同时部署窃取者有效负载以通过 Slack 窃取感兴趣的信息。
通过采用免费提供的攻击工具并重新利用企业环境中普遍存在的 Slack 等合法基础设施,它可以让威胁行为者减少时间和开发成本,并轻松地在雷达下飞行。
效率优势还意味着发起有针对性的攻击变得更加容易,甚至允许技能较低且有抱负的网络犯罪分子采取行动并对组织造成重大损害。
Büyükkaya 表示:“FlightNight 行动和 GoStealer 活动凸显了威胁行为者使用开源工具进行网络间谍活动的一种简单而有效的方法。”
“这凸显了网络威胁不断变化的格局,攻击者滥用广泛使用的开源攻击工具和平台,以最小的检测和投资风险实现其目标。”
2024.03.28
2024.03.27
2024.03.26
注:本文由E安全编译报道,转载请联系授权并注明来源。