昨天(3月27日),EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司,目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制(C2)泄露敏感信息。
据调查,这个信息窃取程序是通过伪装成印度空军邀请函的钓鱼邮件发送的。攻击者利用 Slack 作为外渗点,在恶意软件执行后上传机密内部文档、私人电子邮件信息和缓存的网络浏览器数据。
今年 3 月 7 日,荷兰网络安全公司首次注意到这个攻击活动,该活动代号为 "FlightNight 行动"。其攻击的目标涉及印度多个政府机构,包括与电子通信、IT 管理和国防相关的多个组织。
据悉,黑客已经成功入侵了私营能源公司,并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息,攻击行动导致约 8.81 GB 的数据被泄露。
攻击链从包含 ISO 文件("invite.iso")的钓鱼邮件开始,该文件又包含一个 Windows 快捷方式(LNK),可触发执行安装在光盘镜像中的隐藏二进制文件("scholar.exe")。
恶意软件还会给受害者发一个虚假的印度空军邀请函 PDF 文件,并通过 PDF 获取文档和缓存的网络浏览器数据,然后将这些信息和数据传输到一个由行为者控制的名为 FlightNight 的 Slack 频道。该恶意软件是 HackBrowserData 的修订版,它不仅具有浏览器数据盗窃功能,还具有虹吸文档(Microsoft Office、PDF 和 SQL 数据库文件)、通过 Slack 通信以及使用混淆技术更好地躲避检测的功能。
研究人员称,黑客很可能在之前的一次入侵行动中窃取了诱饵 PDF,其行为相似性可追溯到针对印度空军的网络钓鱼活动,当时他们曾使用了一种名为 GoStealer 的基于 Go 的窃取程序。今年 1 月中旬,一位化名为 xelemental(@ElementalX2)的印度安全研究人员披露了活动细节。
GoStealer 的感染序列与 FlightNight 几乎完全相同,都是利用以采购为主题的诱饵("SU-30 飞机采购.iso")来显示诱饵文件,同时部署窃取程序有效载荷,再通过 Slack 泄露信息。
通过改编免费提供的攻击工具,并重新利用企业环境中普遍存在的 Slack 等合法基础设施,威胁行为者可以有效地减少时间和开发成本。这意味着黑客能够更加轻松地发起有针对性的攻击,甚至一些技术水平一般般的初网络犯罪分子也能利用这种方法快速实施攻击,这极易给企业带来巨大的经济损失。
Büyükkaya认为:'FlightNight行动'和'GoStealer行动'进一步透露了黑客如何更简而有效地利用开源工具进行网络间谍活动。同时,这也凸显了网络威胁不断演变的态势。黑客已经开始学会广泛地使用开源攻击工具和平台,以最小的成本博取更大的利益。
参考来源:Hackers Hit Indian Defense, Energy Sectors with Malware Posing as Air Force Invite