GoStealer 惡意軟體針對印度軍方

安全研究人員發現了一起針對印度空軍的複雜網路間諜事件。針對印度空軍的網路攻擊涉及著名的 Go Stealer 的變種，這是一種旨在謹慎提取敏感資訊的惡意軟體。

該惡意軟體透過一個名為「SU-30_Aircraft_Procurement」的欺騙性 ZIP 檔案分發，利用了最近的國防採購公告，特別是印度國防部於 2023 年 9 月批准的 12 架 Su-30 MKI 戰鬥機。

根據 Cyble 研究和情報實驗室的調查結果，攻擊者透過一系列精心策劃的步驟來執行他們的計劃。他們利用名為 Oshi 的匿名文件儲存平台來託管欺騙性 ZIP 文件，將其偽裝成重要的國防文件。此連結「hxxps://oshi[.]at/ougg」可能透過垃圾郵件或其他通訊管道傳播。

感染序列從 ZIP 文件發展到 ISO 文件，然後是 .lnk 文件，最終導致 Go Stealer 負載的部署。攻擊者利用圍繞國防採購的緊張局勢，誘騙印度空軍專業人員在不知情的情況下啟動惡意軟體。

GoStealer 獲得升級

已識別的 Go Stealer 變體與 GitHub 上的變體不同，展示了可提升其威脅等級的高級功能。該變體採用 Go 程式語言編碼，基於 GitHub 的開源 Go Stealer，引入了增強功能，包括擴展的瀏覽器目標和透過 Slack 進行資料外洩的新穎方法。

執行後，竊取者會在受害者的系統上產生一個日誌文件，利用 GoReSym 等 GoLang 工具進行徹底分析。該惡意軟體經過精心設計，旨在從特定網路瀏覽器（包括 Google Chrome、Edge 和 Brave）中提取登入憑證和 cookie。

與傳統的資訊竊取程式不同，該變體透過利用 Slack API 進行秘密通信，顯示出更高的複雜性。選擇 Slack 作為通訊管道符合其在企業網路中的廣泛使用，允許惡意活動與常規業務流量無縫混合。

已識別的 Go Stealer 透過名為「SU-30_Aircraft_Procurement」的誤導性 ZIP 檔案分發，對印度國防人員構成重大威脅。這次襲擊的時間恰逢印度政府宣布採購 Su-30 MKI 戰鬥機，引發了人們對定向襲擊或間諜活動的擔憂。