ATAQUES A LOS SECTORES ENERGÉTICO Y DE DEFENSA DE LA INDIA, CON MALWARE QUE SE HACE PASAR POR UNA INVITACIÓN DE LA FUERZA AÉREA

Ataques a los sectores energético y de defensa de la India, con malware que se hace pasar por una invitación de la Fuerza Aérea

Entidades gubernamentales y empresas de energía de la India han sido atacadas por actores de amenazas desconocidos con el objetivo de entregar una versión modificada de un malware ladrón de información de código abierto llamado HackBrowserData y exfiltrar información confidencial en algunos casos utilizando Slack como comando y control (C2). .

“El ladrón de información fue entregado a través de un correo electrónico de phishing, disfrazado de una carta de invitación de la Fuerza Aérea de la India”, afirmó Arda Büyükkaya, investigadora de EclecticIQ, en un informe publicado hoy.

“El atacante utilizó los canales de Slack como puntos de exfiltración para cargar documentos internos confidenciales, mensajes de correo electrónico privados y datos almacenados en caché del navegador web después de la ejecución del malware”.

La campaña, observada por la empresa holandesa de ciberseguridad a partir del 7 de marzo de 2024, recibió el nombre en código Operación FlightNight en referencia a los canales de Slack operados por el adversario.

Los objetivos de la actividad maliciosa abarcan múltiples entidades gubernamentales en la India, incluidas aquellas relacionadas con las comunicaciones electrónicas, la gobernanza de TI y la defensa nacional.

Se dice que el autor de la amenaza comprometió con éxito a empresas energéticas privadas, recopilando documentos financieros, datos personales de los empleados y detalles sobre actividades de perforación de petróleo y gas. En total, se han filtrado alrededor de 8,81 GB de datos a lo largo de la campaña.

La cadena de ataque comienza con un mensaje de phishing que contiene un archivo ISO (“invite.iso”), que, a su vez, contiene un acceso directo de Windows (LNK) que desencadena la ejecución de un binario oculto (“scholar.exe”) presente dentro del Imagen de disco óptico montada.

Simultáneamente, se muestra a la víctima un archivo PDF atractivo que pretende ser una carta de invitación de la Fuerza Aérea de la India mientras el malware recopila clandestinamente documentos y datos almacenados en caché del navegador web y los transmite a un canal de Slack controlado por un actor llamado FlightNight.

El malware es una versión modificada de HackBrowserData que va más allá de las funciones de robo de datos del navegador para incorporar capacidades para desviar documentos (Microsoft Office, PDF y archivos de bases de datos SQL), comunicarse a través de Slack y evadir mejor la detección mediante técnicas de ofuscación.

Se sospecha que el actor de amenazas robó el PDF señuelo durante una intrusión anterior, con similitudes de comportamiento que se remontan a una campaña de phishing dirigida a la Fuerza Aérea de la India con un ladrón basado en Go llamado GoStealer.

Los detalles de la actividad fueron revelados por un investigador de seguridad indio que se conoce con el alias xelemental (@ElementalX2) a mediados de enero de 2024.

Leer más  

Leave Your Comment