Неизвестные хакеры атаковали индийский оборонный и энергетический сектор

Индийские правительственные учреждения и энергетические предприятия подверглись крупномасштабной хакерской атаке со стороны неизвестных киберпреступников, основной целью которых является доставка модифицированной версии вредоносного программного обеспечения с открытым исходным кодом для кражи информации под названием HackBrowserData и, в некоторых случаях, кража конфиденциальной информации с помощью Slack в качестве средства управления и контроля (C2). Об этом сообщило издание The Hacker News.

В компании по информационной безопасности EclecticIQ рассказали, что в рамках этой киберпреступной кампании хакеры старались с помощью фишинговых писем, которые маскировались под официальные письма, якобы направлены от ВВС Индии, доставить вредоносный код для кражи конфиденциальной информации в различные индийские государственные структуры и энергетические предприятия.

Отдельно подчёркивается, что хакеры использовали каналы Slack в качестве точек эксфильтрации для загрузки конфиденциальных внутренних документов, личных сообщений электронной почты и кэшированных данных веб-браузера после запуска вредоносного ПО.

В EclecticIQ также рассказали о том, что эта киберпреступная кампания отслеживается примерно с 7 марта 2024 года, она получила кодовое название Operation FlightNight в честь каналов Slack, которыми управляют хакеры.

При этом в качестве основных объектов для проведения хакерских атак выступают многочисленные правительственные учреждения Индии, включая те, которые связаны с электронными коммуникациями, управлением ИТ и национальной обороной.

Сообщается, что хакеры успешно скомпрометировали частные энергетические компании, собирая финансовые документы, личные данные сотрудников, а также подробности буровых работ на нефть и газ. Всего за время кампании было похищено около 8,81 ГБ данных.

Цепочка атак начинается с фишингового сообщения, содержащего файл ISO («invite.iso»), который, в свою очередь, содержит ярлык Windows (LNK), запускающий выполнение скрытого двоичного файла («scholar.exe»), присутствующего в файле смонтированном образе оптического диска. Одновременно с этим жертве отображается заманчивый PDF-файл, который якобы является письмом-приглашением от ВВС Индии, в то время как вредоносное ПО тайно собирает документы и кэшированные данные веб-браузера и передаёт их на контролируемый хакерам сервер.