Fuente: thehackernews.com – Autor: . Las entidades gubernamentales y las empresas de energía de la India han sido atacadas por actores de amenazas desconocidos con el objetivo de entregar una versión modificada de un malware ladrón de información de código abierto llamado HackBrowserData y exfiltrar información confidencial en algunos casos utilizando Slack como comando y control (C2). . «El ladrón de información fue entregado a través de un correo electrónico de phishing, haciéndose pasar por una carta de invitación de la Fuerza Aérea de la India», dijo Arda Büyükkaya, investigadora de EclecticIQ, en un informe publicado hoy. «El atacante utilizó los canales de Slack como puntos de exfiltración para cargar documentos internos confidenciales, mensajes de correo electrónico privados y datos almacenados en caché del navegador web después de la ejecución del malware». La campaña, observada por la firma holandesa de ciberseguridad a partir del 7 de marzo de 2024, recibió el nombre en código Operación FlightNight en referencia a los canales de Slack operados por el adversario. Los objetivos de la actividad maliciosa abarcan múltiples entidades gubernamentales en la India, incluidas aquellas relacionadas con las comunicaciones electrónicas, la gobernanza de TI y la defensa nacional. Se dice que el autor de la amenaza comprometió con éxito a empresas energéticas privadas, recopilando documentos financieros, datos personales de los empleados y detalles sobre actividades de perforación de petróleo y gas. En total, se han filtrado alrededor de 8,81 GB de datos a lo largo de la campaña. La cadena de ataque comienza con un mensaje de phishing que contiene un archivo ISO (“invite.iso”), que, a su vez, contiene un acceso directo de Windows (LNK) que desencadena la ejecución de un binario oculto (“scholar.exe”) presente dentro del Imagen de disco óptico montada. Simultáneamente, se muestra a la víctima un archivo PDF atractivo que pretende ser una carta de invitación de la Fuerza Aérea de la India mientras el malware recopila clandestinamente documentos y datos almacenados en caché del navegador web y los transmite a un canal de Slack controlado por un actor llamado FlightNight. El malware es una versión modificada de HackBrowserData que va más allá de las funciones de robo de datos del navegador para incorporar capacidades para desviar documentos (Microsoft Office, PDF y archivos de bases de datos SQL), comunicarse a través de Slack y evadir mejor la detección mediante técnicas de ofuscación. Se sospecha que el actor de amenazas robó el PDF señuelo durante una intrusión anterior, con similitudes de comportamiento que se remontan a una campaña de phishing dirigida a la Fuerza Aérea de la India con un ladrón basado en Go llamado GoStealer. Los detalles de la actividad fueron revelados por un investigador de seguridad indio que utiliza el alias xelemental (@ElementalX2) a mediados de enero de 2024. La secuencia de infección de GoStealer es prácticamente idéntica a FlightNight, y emplea señuelos con temas de adquisiciones (“SU-30 Aircraft Procurement .iso”) para mostrar un archivo señuelo mientras se implementa la carga útil del ladrón para filtrar información de interés a través de Slack. Al adaptar herramientas ofensivas disponibles gratuitamente y reutilizar infraestructura legítima como Slack, que prevalece en entornos empresariales, permite a los actores de amenazas reducir el tiempo y los costos de desarrollo, además de pasar desapercibidos fácilmente. Fuente de la imagen: ElementalX2 Los beneficios de eficiencia también significan que es mucho más fácil lanzar un ataque dirigido, incluso permitiendo que cibercriminales aspirantes y menos capacitados entren en acción e inflijan daños significativos a las organizaciones. «La Operación FlightNight y la campaña GoStealer destacan un enfoque simple pero eficaz por parte de los actores de amenazas para utilizar herramientas de código abierto para el ciberespionaje», dijo Büyükkaya. «Esto subraya el panorama cambiante de las amenazas cibernéticas, en el que los actores abusan de herramientas y plataformas ofensivas de código abierto ampliamente utilizadas para lograr sus objetivos con un riesgo mínimo de detección e inversión». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html

Source link