昨天（3月27日），EclecticIQ 研究人員發布了一份報告稱：黑客攻擊了印度政府和能源公司，目的是傳播一種名爲 HackBrowserData 的開源信息竊取惡意軟件。該軟件能夠在某些情況下利用 Slack 作爲命令與控制（C2）泄露敏感信息。

據調查，這個信息竊取程序是通過僞裝成印度空軍邀請函的釣魚郵件發送的。攻擊者利用 Slack 作爲外滲點，在惡意軟件執行後上傳機密內部文檔、私人電子郵件信息和緩存的網絡浏覽器數據。

今年 3 月 7 日，荷蘭網絡安全公司首次注意到這個攻擊活動，該活動代號爲 "FlightNight 行動"。其攻擊的目標涉及印度多個政府機構，包括與電子通信、IT 管理和國防相關的多個組織。

據悉，黑客已經成功入侵了私營能源公司，並獲取了財務文件、員工個人資料以及石油和天然氣鑽探活動的詳細信息，攻擊行動導致約 8.81 GB 的數據被泄露。

攻擊鏈從包含 ISO 文件（"invite.iso"）的釣魚郵件開始，該文件又包含一個 Windows 快捷方式（LNK），可觸發執行安裝在光盤鏡像中的隱藏二進制文件（"scholar.exe"）。

惡意軟件還會給受害者發一個虛假的印度空軍邀請函 PDF 文件，並通過 PDF 獲取文檔和緩存的網絡浏覽器數據，然後將這些信息和數據傳輸到一個由行爲者控制的名爲 FlightNight 的 Slack 頻道。該惡意軟件是 HackBrowserData 的修訂版，它不僅具有浏覽器數據盜竊功能，還具有虹吸文檔（Microsoft Office、PDF 和 SQL 數據庫文件）、通過 Slack 通信以及使用混淆技術更好地躲避檢測的功能。

研究人員稱，黑客很可能在之前的一次入侵行動中竊取了誘餌 PDF，其行爲相似性可追溯到針對印度空軍的網絡釣魚活動，當時他們曾使用了一種名爲 GoStealer 的基于 Go 的竊取程序。今年 1 月中旬，一位化名爲 xelemental（@ElementalX2）的印度安全研究人員披露了活動細節。

GoStealer 的感染序列與 FlightNight 幾乎完全相同，都是利用以采購爲主題的誘餌（"SU-30 飛機采購.iso"）來顯示誘餌文件，同時部署竊取程序有效載荷，再通過 Slack 泄露信息。

通過改編免費提供的攻擊工具，並重新利用企業環境中普遍存在的 Slack 等合法基礎設施，威脅行爲者可以有效地減少時間和開發成本。這意味著黑客能夠更加輕松地發起有針對性的攻擊，甚至一些技術水平一般般的初網絡犯罪分子也能利用這種方法快速實施攻擊，這極易給企業帶來巨大的經濟損失。

Büyükkaya認爲：'FlightNight行動'和'GoStealer行動'進一步透露了黑客如何更簡而有效地利用開源工具進行網絡間諜活動。同時，這也凸顯了網絡威脅不斷演變的態勢。黑客已經開始學會廣泛地使用開源攻擊工具和平台，以最小的成本博取更大的利益。

參考來源：Hackers Hit Indian Defense, Energy Sectors with Malware Posing as Air Force Invite