Новости FlightNight: один шпионский PDF ставит под удар госсектор и энергетику Индии

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Инфостилер HackBrowserData распространяется по всей стране. Кто стоит за этой операцией?


pl2o199uim86cxw7lk6hv2ywnkm2ao5l.jpg


Исследователи из нидерландской компании Для просмотра ссылки Войди или Зарегистрируйся раскрыли новую кибершпионскую кампанию под названием Operation FlightNight, нацеленную на государственный сектор и энергетическую отрасль Индии. Злоумышленники использовали модифицированную версию открытого инфостилера HackBrowserData, способного похищать учетные данные браузеров, куки и историю посещений.

По данным экспертов, опубликованным в среду, в результате атак было украдено 8,81 ГБ конфиденциальных данных. Эксперты предупредили, что утечка может существенно облегчить дальнейшие взломы инфраструктуры индийского правительства.

Вредоносное ПО распространялось через фишинговый PDF-документ, замаскированный под приглашение от индийских ВВС. Предполагается, что исходный файл, был похищен в результате одной из предыдущих успешных атак на ВВС, а затем модифицирован злоумышленниками и использован повторно.

Сам документ выглядел безобидно, однако содержал вредоносный ярлык - LNK-файл, ведущий к запуску инфостилера. После активации вредонос незамедлительно приступал к массовой экcфильтрации ценных сведений с зараженного устройства на заранее подготовленные хакерами каналы в мессенджере Slack.

Среди похищенных данных оказались внутренние документы, личные переписки сотрудников и кэшированная информация веб-браузеров. Чтобы оптимизировать атаку, программа целенаправленно искала файлы с определенными расширениями. Это были, например, документы Microsoft Office, PDF и базы данных SQL.

В число атакованных индийских госучреждений вошли агентства, контролирующие электронные коммуникации, IT-инфраструктуру и сферу нацбезопасности. У энергетических компаний злоумышленники похитили финансовые отчеты, личные данные сотрудников и документацию по буровым работам.

Хотя пока что ни одна из известных групп не взяла на себя ответственность за атаки, эксперты обнаружили сходство используемого вредоноса и метаданных с январской кампанией по распространению инфостилера GoStealer, также нацеленной на индийских военных. В том случае хакеры похитили данные с помощью вируса на базе открытого ПО с GitHub и экcфильтрировали их через Slack.

По мнению исследователей EclecticIQ , за обеими операциями стоит одна и та же группировка, активно использующая открытые инструменты для кибершпионажа против индийских структур.
 
Источник новости
www.securitylab.ru

Похожие темы