研究人员发现了一项针对印度政府机构和该国能源行业的新间谍活动,该活动使用名为 HackBrowserData 的开源信息窃取程序的修改版本,该程序可以收集浏览器登录凭据、cookie 和历史记录。
荷兰网络安全公司 EclecticIQ 的研究人员在 3 月初发现了该活动,但并未将其归因于特定的威胁行为者。根据周三发布的研究报告,黑客从受害者那里窃取了 8.81 GB 的数据。分析师表示,这些数据可能有助于进一步入侵印度政府的基础设施。
该信息窃取程序通过伪装成印度空军邀请函的网络钓鱼 PDF 文档传递给受害者。研究人员认为,原始 PDF 文件很可能在之前的入侵中被盗,并被攻击者重新利用。
该文档本身看起来无害,但包含一个指向恶意软件的快捷方式(LNK 文件)。一旦执行,恶意软件立即开始窃取文档并将网络浏览器数据从受害者的设备缓存到工作场所应用程序 Slack 上的通道。被盗信息包括内部文档、私人电子邮件和缓存的网络浏览器数据。
EclecticIQ 分析师将此活动称为“Operation FlightNight”,因为攻击者操作的每个 Slack 通道都被命名为“FlightNight”。
在数据泄露过程中,恶意软件仅针对特定文件扩展名,例如受害设备上的 Microsoft Office 文档(Word、PowerPoint、Excel)、PDF 文件和 SQL 数据库文件,很可能会提高数据盗窃的速度。
受害的政府实体包括负责电子通信、IT 治理和国防的印度机构。黑客从私营能源公司窃取了财务文件、员工的个人信息以及石油和天然气钻探活动的详细信息。
尽管此次活动背后的黑客组织尚未确定,但该恶意软件和传输技术元数据的相似性“强烈表明”与 1 月初报告的一次攻击有关,当时网络犯罪分子使用名为 GoStealer 的凭证窃取恶意软件针对印度空军官员。
在那次活动中,交付的恶意软件是 GoStealer 的变体,基于 GitHub 上发现的开源恶意软件。它针对多种浏览器——Firefox、Google Chrome、Edge 和 Brave——并使用 Slack 窃取数据。
根据 EclecticIQ 的说法,这两项活动很可能是针对印度政府实体的同一威胁行为者所为。
研究人员表示:“FlightNight 行动和 Go-Stealer 活动凸显了威胁行为者使用开源工具进行网络间谍活动的一种简单而有效的方法。”
发表评论
您还未登录,请先登录。
登录