Χρησιμοποιεί κακόβουλο λογισμικό HackBrowserData Infostealer σε επιθέσεις σε ινδικές οντότητες

Οι ερευνητές έχουν αποκαλύψει μια νέα απόπειρα κατασκοπείας που απευθύνεται σε κυβερνητικούς φορείς της Ινδίας και στον ενεργειακό τομέα της χώρας, χρησιμοποιώντας μια τροποποιημένη έκδοση ενός εργαλείου κλοπής δεδομένων ανοιχτού κώδικα που ονομάζεται HackBrowserData. Αυτό το εργαλείο είναι σε θέση να συγκεντρώσει διαπιστευτήρια σύνδεσης, cookies και ιστορικό περιήγησης.

Η προέλευση της καμπάνιας, η οποία αποκαλύφθηκε από ερευνητές της ολλανδικής εταιρείας κυβερνοασφάλειας EclecticIQ στις αρχές Μαρτίου, παραμένει άγνωστη. Τα ευρήματά τους, που αποκαλύφθηκαν την Τετάρτη, αποκαλύπτουν ότι οι χάκερ αφαίρεσαν 8,81 GB δεδομένων από στόχους, διευκολύνοντας πιθανώς περαιτέρω διεισδύσεις στα κυβερνητικά συστήματα της Ινδίας.

Το Initial Attact Vector χρησιμοποιεί αρχεία PDF

Το κακόβουλο λογισμικό διανεμήθηκε μέσω ενός αρχείου phishing PDF που μεταμφιέζεται σε επιστολή πρόσκλησης από την Ινδική Πολεμική Αεροπορία. Θεωρείται ότι το αρχικό PDF ελήφθη σε προηγούμενη παραβίαση και επαναχρησιμοποιήθηκε από τους εισβολείς.

Το έγγραφο με αβλαβή εμφάνιση περιείχε μια κρυφή συντόμευση για το κακόβουλο λογισμικό. Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό άρχισε αμέσως την κλοπή εγγράφων και την προσωρινή αποθήκευση δεδομένων του προγράμματος περιήγησης, μεταδίδοντάς τα σε κανάλια Slack υπό τον έλεγχο των εισβολέων, που εύστοχα ονομάστηκαν "FlightNight".

Το HackBrowserData πηγαίνει μετά από έγγραφα και βάσεις δεδομένων

Το κακόβουλο λογισμικό προγραμματίστηκε να στοχεύει συγκεκριμένα ορισμένους τύπους αρχείων, όπως έγγραφα του Microsoft Office, PDF και βάσεις δεδομένων SQL, που πιθανόν να επισπεύσουν τη διαδικασία κλοπής.

Οι θύματα περιλάμβαναν ινδικά πρακτορεία που επιβλέπουν τις ηλεκτρονικές επικοινωνίες, τη διακυβέρνηση πληροφορικής και την εθνική άμυνα, καθώς και ιδιωτικές εταιρείες ενέργειας, από τις οποίες εξήχθησαν οικονομικά έγγραφα, στοιχεία εργαζομένων και πληροφορίες για δραστηριότητες γεώτρησης πετρελαίου και φυσικού αερίου.

Αν και η ομάδα που είναι υπεύθυνη για την εκστρατεία παραμένει άγνωστη, οι ομοιότητες στο κακόβουλο λογισμικό και τη μέθοδο παράδοσης υποδηλώνουν σύνδεση με μια προηγούμενη επίθεση τον Ιανουάριο, η οποία στόχευε αξιωματούχους της Ινδικής Πολεμικής Αεροπορίας χρησιμοποιώντας ένα κακόβουλο λογισμικό που κλέβει διαπιστευτήρια με το όνομα GoStealer.

Και οι δύο καμπάνιες φαίνεται να είναι το έργο του ίδιου παράγοντα απειλών, σύμφωνα με το EclecticIQ. Αυτά τα περιστατικά υπογραμμίζουν την αποτελεσματικότητα της μόχλευσης εργαλείων ανοιχτού κώδικα για την κατασκοπεία στον κυβερνοχώρο, σύμφωνα με τους ερευνητές.