HackBrowserData Infostealer マルウェア
未知の攻撃者は、HackBrowserData と呼ばれるオープンソースの情報窃取マルウェアの改変版を使用して、インドの政府機関やエネルギー会社に注目を集めています。彼らの目的には、特定の場合にコマンド アンド コントロール (C2) メカニズムとして Slack を使用して、機密データを抜き出すことが含まれます。このマルウェアは、インド空軍からの招待状を装ったフィッシングメールを通じて拡散されました。
実行時に、攻撃者は Slack チャネルを経路として活用し、社内機密文書、私用メール通信、キャッシュされた Web ブラウザ データなど、さまざまな形式の機密情報を窃取しました。この文書化されたキャンペーンは、2024 年 3 月初旬に開始されたと推定されています。
目次
サイバー犯罪者は重要な政府機関や民間団体を狙う
有害な活動の範囲はインドの多数の政府機関に及び、電子通信、ITガバナンス、国防などの分野を網羅しています。
報告によると、この攻撃者は民間エネルギー会社に効果的に侵入し、財務書類、従業員の個人情報、石油とガスの掘削作業に関する詳細を抽出しました。キャンペーン全体を通じて流出したデータの総量は、約 8.81 ギガバイトになります。
改変された HackBrowserData マルウェアを展開する感染チェーン
一連の攻撃は、「invite.iso」という名前の ISO ファイルを含むフィッシング メッセージから始まります。このファイル内には、マウントされた光ディスク イメージ内に常駐する隠蔽バイナリ ファイル (「scholar.exe」) の実行をアクティブにする Windows ショートカット (LNK) があります。
同時に、インド空軍からの招待状を装った詐欺的な PDF ファイルが被害者に提示されます。同時に、マルウェアはバックグラウンドでドキュメントとキャッシュされた Web ブラウザ データを慎重に収集し、それらを FlightNight と呼ばれる脅威アクターの制御下にある Slack チャネルに送信します。
このマルウェアは、HackBrowserData の修正版を表しており、初期のブラウザ データ盗難機能を超えて、ドキュメント (Microsoft Office、PDF、SQL データベース ファイルなど) の抽出、Slack 経由での通信、回避を強化するための難読化技術の採用などの機能を拡張しています。検出の。
脅威アクターが以前の侵入中におとり PDF を取得した疑いがあり、その行動の類似点が、Go ベースのスティーラーとして知られる Go ベースのスティーラーを利用したインド空軍を標的としたフィッシング キャンペーンと追跡されています。
同様の感染戦術を利用した以前のマルウェア キャンペーン
GoStealer の感染プロセスは FlightNight の感染プロセスとよく似ており、調達テーマ (「SU-30 Aircraft Procurement.iso」など) を中心としたおとり戦術を採用し、おとりファイルで被害者の注意をそらします。同時に、スティーラー ペイロードがバックグラウンドで動作し、Slack 経由で対象の情報を窃取します。
すぐに利用できる攻撃ツールを利用し、企業環境で一般的に見られる Slack などの正規のプラットフォームを活用することで、攻撃者は業務を合理化し、目立たずに時間と開発費用の両方を削減できます。
こうした効率の向上により、標的型攻撃の実行がますます簡単になり、経験の浅いサイバー犯罪者でも組織に重大な損害を与えることが可能になります。これは、悪意のある攻撃者が検出と投資のリスクを最小限に抑えながら目的を達成するために、広くアクセス可能なオープンソースのツールやプラットフォームを悪用するサイバー脅威の進化する性質を浮き彫りにしています。
