GoStealer 惡意軟體針對印度軍方
安全研究人員發現了一起針對印度空軍的複雜網路間諜事件。針對印度空軍的網路攻擊涉及著名的 Go Stealer 的變種,這是一種旨在謹慎提取敏感資訊的惡意軟體。
該惡意軟體透過一個名為「SU-30_Aircraft_Procurement」的欺騙性 ZIP 檔案分發,利用了最近的國防採購公告,特別是印度國防部於 2023 年 9 月批准的 12 架 Su-30 MKI 戰鬥機。
根據 Cyble 研究和情報實驗室的調查結果,攻擊者透過一系列精心策劃的步驟來執行他們的計劃。他們利用名為 Oshi 的匿名文件儲存平台來託管欺騙性 ZIP 文件,將其偽裝成重要的國防文件。此連結「hxxps://oshi[.]at/ougg」可能透過垃圾郵件或其他通訊管道傳播。
感染序列從 ZIP 文件發展到 ISO 文件,然後是 .lnk 文件,最終導致 Go Stealer 負載的部署。攻擊者利用圍繞國防採購的緊張局勢,誘騙印度空軍專業人員在不知情的情況下啟動惡意軟體。
GoStealer 獲得升級
已識別的 Go Stealer 變體與 GitHub 上的變體不同,展示了可提升其威脅等級的高級功能。該變體採用 Go 程式語言編碼,基於 GitHub 的開源 Go Stealer,引入了增強功能,包括擴展的瀏覽器目標和透過 Slack 進行資料外洩的新穎方法。
執行後,竊取者會在受害者的系統上產生一個日誌文件,利用 GoReSym 等 GoLang 工具進行徹底分析。該惡意軟體經過精心設計,旨在從特定網路瀏覽器(包括 Google Chrome、Edge 和 Brave)中提取登入憑證和 cookie。
與傳統的資訊竊取程式不同,該變體透過利用 Slack API 進行秘密通信,顯示出更高的複雜性。選擇 Slack 作為通訊管道符合其在企業網路中的廣泛使用,允許惡意活動與常規業務流量無縫混合。
已識別的 Go Stealer 透過名為「SU-30_Aircraft_Procurement」的誤導性 ZIP 檔案分發,對印度國防人員構成重大威脅。這次襲擊的時間恰逢印度政府宣布採購 Su-30 MKI 戰鬥機,引發了人們對定向襲擊或間諜活動的擔憂。