GoStealer 恶意软件针对印度军方
安全研究人员发现了一起针对印度空军的复杂网络间谍事件。针对印度空军的网络攻击涉及著名的 Go Stealer 的变种,这是一种旨在谨慎提取敏感信息的恶意软件。
该恶意软件通过一个名为“SU-30_Aircraft_Procurement”的欺骗性 ZIP 文件分发,利用了最近的国防采购公告,特别是印度国防部于 2023 年 9 月批准的 12 架 Su-30 MKI 战斗机。
根据 Cyble 研究和情报实验室的调查结果,攻击者通过一系列精心策划的步骤来执行他们的计划。他们利用名为 Oshi 的匿名文件存储平台来托管欺骗性 ZIP 文件,将其伪装成重要的国防文档。该链接“hxxps://oshi[.]at/ougg”可能通过垃圾邮件或其他通信渠道传播。
感染序列从 ZIP 文件发展到 ISO 文件,然后是 .lnk 文件,最终导致 Go Stealer 负载的部署。攻击者利用围绕国防采购的紧张局势,诱骗印度空军专业人员在不知情的情况下激活恶意软件。
GoStealer 获得升级
已识别的 Go Stealer 变体与 GitHub 上的变体不同,展示了可提升其威胁级别的高级功能。该变体采用 Go 编程语言编码,基于 GitHub 的开源 Go Stealer,引入了增强功能,包括扩展的浏览器目标和通过 Slack 进行数据泄露的新颖方法。
执行后,窃取者会在受害者的系统上生成一个日志文件,利用 GoReSym 等 GoLang 工具进行彻底分析。该恶意软件经过精心设计,旨在从特定互联网浏览器(包括 Google Chrome、Edge 和 Brave)中提取登录凭据和 cookie。
与传统的信息窃取程序不同,该变体通过利用 Slack API 进行秘密通信,显示出更高的复杂性。选择 Slack 作为通信渠道符合其在企业网络中的广泛使用,允许恶意活动与常规业务流量无缝混合。
已识别的 Go Stealer 通过名为“SU-30_Aircraft_Procurement”的误导性 ZIP 文件分发,对印度国防人员构成重大威胁。这次袭击的时间恰逢印度政府宣布采购 Su-30 MKI 战斗机,引发了人们对定向袭击或间谍活动的担忧。