Złośliwe oprogramowanie GoStealer atakuje indyjskie wojsko

Badacze zajmujący się bezpieczeństwem odkryli wyrafinowany incydent cyberszpiegowski, którego celem są indyjskie siły powietrzne. Cyberatak na indyjskie siły powietrzne wykorzystuje odmianę dobrze znanego Go Stealer – złośliwego oprogramowania stworzonego w celu dyskretnego wydobywania poufnych informacji.

Szkodnik rozpowszechniany za pośrednictwem pliku ZIP o zwodniczej nazwie, oznaczonego „SU-30_Aircraft_Procurement”, wykorzystuje niedawne ogłoszenia o zamówieniach w dziedzinie obronności, w szczególności zatwierdzenie przez indyjskie Ministerstwo Obrony 12 myśliwców Su-30 MKI we wrześniu 2023 r.

Jak wynika z ustaleń Cyble Research and Intelligence Labs, napastnicy realizują swój plan, wykonując starannie zaaranżowaną serię kroków. Wykorzystują anonimową platformę do przechowywania plików o nazwie Oshi do hostowania zwodniczego pliku ZIP, udając, że jest to kluczowa dokumentacja obronna. Link „hxxps://oshi[.]at/ougg” jest prawdopodobnie rozpowszechniany za pośrednictwem wiadomości spamowych lub innych kanałów komunikacji.

Sekwencja infekcji przebiega z pliku ZIP do pliku ISO, po którym następuje plik .lnk, co ostatecznie prowadzi do wdrożenia ładunku Go Stealer. Wykorzystując zwiększone napięcie wokół zamówień w dziedzinie obronności, napastnicy chcą nakłonić specjalistów indyjskich sił powietrznych do nieświadomej aktywacji szkodliwego oprogramowania.

GoStealer otrzymuje aktualizację

Zidentyfikowany wariant Go Stealer, różniący się od swojego odpowiednika na GitHubie, zawiera zaawansowane funkcje, które podnoszą poziom zagrożenia. Wariant ten, napisany w języku programowania Go i oparty na open source Go Stealer z GitHub, wprowadza ulepszenia, w tym rozszerzone kierowanie na przeglądarkę i nowatorską metodę eksfiltracji danych przez Slack.

Po wykonaniu złodziej generuje plik dziennika w systemie ofiary, wykorzystując do dokładnej analizy narzędzia GoLang, takie jak GoReSym. Szkodnik jest misternie zaprojektowany w celu wyodrębnienia danych logowania i plików cookie z określonych przeglądarek internetowych, w tym Google Chrome, Edge i Brave.

Odchodząc od konwencjonalnych złodziei informacji, ten wariant charakteryzuje się większym wyrafinowaniem, wykorzystując interfejs API Slack do tajnej komunikacji. Wybór Slacka jako kanału komunikacji jest zgodny z jego powszechnym zastosowaniem w sieciach korporacyjnych, umożliwiając złośliwym działaniom płynne łączenie się z regularnym ruchem biznesowym.

Zidentyfikowany złodziej Go, rozpowszechniany za pośrednictwem wprowadzającego w błąd pliku ZIP o nazwie „SU-30_Aircraft_Procurement”, stanowi poważne zagrożenie dla indyjskiego personelu wojskowego. Moment ataku zbiegający się z ogłoszeniem przez rząd Indii zamówienia myśliwców Su-30 MKI budzi obawy co do ataków ukierunkowanych lub działań szpiegowskich.