Специалисты EclecticIQ обнаружилиновую шпионскую кампанию, нацеленную на государственные агентства и энергетическую отрасль Индии.
Преступники использовали модифицированную версию открытого ПО для кражи данных HackBrowserData, способного собирать учетные данные браузера, куки и историю посещений. По данным EclecticIQ, хакеры эксфильтровали 8,81 ГБ данных, что может способствовать дальнейшим взломам инфраструктуры индийского правительства.
Шпионское ПО доставлялось жертвам через фишинговый PDF-документ, маскирующийся под пригласительное письмо от ВВС Индии. Предполагается, что оригинальный PDF-файл был украден во время предыдущего взлома. Документ содержал ярлык для скачивания вредоносного ПО, которое начинало эксфильтрацию данных с устройства жертвы в каналы Slack, включая внутренние документы, электронные письма и кэшированные данные веб-браузера.
Аналитики EclecticIQ назвали кампанию Operation FlightNight, поскольку каждый из каналов Slack, управляемых злоумышленниками, имел название FlightNight. Во время эксфильтрации данных вредоносное ПО нацеливалось только на определенные типы файлов – документы Microsoft Office, PDF и базы данных SQL.
Среди пострадавших – государственные агентства Индии, ответственные за электронные коммуникации, управление ИТ и национальную оборону. У частных энергетических компаний хакеры украли финансовые документы, личные данные сотрудников и информацию о буровых работах в нефтегазовой отрасли.
Хотя прямых доказательств причастности конкретной группы хакеров не представлено, сходство используемого вредоносного ПО и методов доставки “сильно указывают” на связь с атакой на офицеров ВВС Индии с помощью инфостилера GoStealer.
Обе кампании, вероятно, являются работой того же субъекта угрозы. Operation FlightNight и кампания с использованием GoStealer подчеркивают простой, но эффективный подход злоумышленников к использованию инструментов с открытым исходным кодом для кибершпионажа, как отмечают исследователи.