HackBrowserData Infostealer マルウェアがインド企業への攻撃に使用

研究者らは、HackBrowserDataというオープンソースのデータ窃取ツールの修正版を使用して、インドの政府機関と同国のエネルギー部門を狙った新たなスパイ活動を暴露した。このツールは、ログイン資格情報、Cookie、および閲覧履歴を収集できます。

オランダのサイバーセキュリティ企業 EclecticIQ の研究者によって 3 月初旬に明らかにされたが、このキャンペーンの起源は依然として特定されていない。水曜日に明らかにされた彼らの調査結果では、ハッカーがターゲットから8.81GBのデータを吸い上げ、インド政府システムへのさらなる侵入を促進する可能性があることが明らかになった。

初期の Atact Vector は PDF ファイルを使用します

この悪意のあるソフトウェアは、インド空軍からの招待状を装ったフィッシング PDF ファイルを通じて配布されました。元の PDF は以前の侵害で入手され、攻撃者によって再利用されたものと推定されています。

無害に見えるこの文書には、マルウェアへの隠しショートカットが含まれていました。このマルウェアは、アクティブ化されるとすぐにドキュメントとキャッシュされたブラウザ データの窃取を開始し、攻撃者の制御下にある Slack チャネル (「FlightNight」という名前にふさわしい) に送信しました。

HackBrowserData はドキュメントとデータベースを追跡します

このマルウェアは、Microsoft Office ドキュメント、PDF、SQL データベースなどの特定のファイル タイプを特にターゲットにするようにプログラムされており、盗難プロセスを促進する可能性があります。

被害を受けた組織には、電子通信、ITガバナンス、国防を監督するインドの政府機関のほか、民間エネルギー会社も含まれており、そこから財務書類、従業員の詳細情報、石油やガスの掘削活動に関する情報が抽出された。

このキャンペーンを実行したグループはまだ特定されていませんが、マルウェアと配信方法の類似性は、GoStealer という名前の認証情報を盗むマルウェアを使用してインド空軍職員を標的とした、1 月の以前の攻撃との関連を示唆しています。

EclecticIQ によると、両方のキャンペーンは同じ攻撃者の仕業であるようです。研究者らによると、これらの事件は、サイバースパイ活動にオープンソースツールを活用することの有効性を浮き彫りにしているという。