29.03.2024 | Operation FlightNight: как Slack помог украсть гостайну Индии |
Специалисты EclecticIQ обнаружили новую шпионскую кампанию, нацеленную на государственные агентства и энергетическую отрасль Индии. Преступники использовали модифицированную версию открытого ПО для кражи данных HackBrowserData, способного собирать учетные данные браузера, куки и историю посещений. По данным EclecticIQ, хакеры эксфильтровали 8,81 ГБ данных, что может способствовать дальнейшим взломам инфраструктуры индийского правительства. Шпионское ПО доставлялось жертвам через фишинговый PDF-документ, маскирующийся под пригласительное письмо от ВВС Индии. Предполагается, что оригинальный PDF-файл был украден во время предыдущего взлома. Документ содержал ярлык для скачивания вредоносного ПО, которое начинало эксфильтрацию данных с устройства жертвы в каналы Slack , включая внутренние документы, электронные письма и кэшированные данные веб-браузера. Аналитики EclecticIQ назвали кампанию Operation FlightNight, поскольку каждый из каналов Slack, управляемых злоумышленниками, имел название FlightNight. Во время эксфильтрации данных вредоносное ПО нацеливалось только на определенные типы файлов – документы Microsoft Office, PDF и базы данных SQL. Среди пострадавших – государственные агентства Индии, ответственные за электронные коммуникации, управление ИТ и национальную оборону. У частных энергетических компаний хакеры украли финансовые документы, личные данные сотрудников и информацию о буровых работах в нефтегазовой отрасли. Хотя прямых доказательств причастности конкретной группы хакеров не представлено, сходство используемого вредоносного ПО и методов доставки «сильно указывают» на связь с атакой на офицеров ВВС Индии с помощью инфостилера GoStealer. Обе кампании, вероятно, являются работой того же субъекта угрозы. Operation FlightNight и кампания с использованием GoStealer подчеркивают простой, но эффективный подход злоумышленников к использованию инструментов с открытым исходным кодом для кибершпионажа, как отмечают исследователи. |
Проверить безопасность сайта