SteganoAmor आक्रमण अपरेशन

TA558 ह्याकिङ समूहले छविहरू भित्र हानिकारक कोड इम्बेड गर्न स्टेग्नोग्राफी प्रयोग गरी नयाँ अभियान सुरु गरेको छ। यो प्रविधिले तिनीहरूलाई विशेष प्रणालीहरूमा मालवेयर उपकरणहरूको दायरा गुपचुप रूपमा वितरण गर्न अनुमति दिन्छ, प्रयोगकर्ताहरू र सुरक्षा सफ्टवेयर दुवैद्वारा पत्ता लगाउनबाट जोगिन।

2018 देखि, TA558 ले मुख्य रूपमा ल्याटिन अमेरिकामा ध्यान केन्द्रित गरी विश्वभरका अतिथि सत्कार र पर्यटन संस्थाहरूलाई लक्षित गर्दै महत्त्वपूर्ण खतरा खडा गरेको छ। भर्खरै, साइबरसुरक्षा विशेषज्ञहरूले स्टेगानोग्राफीमा यसको भारी निर्भरतालाई हाइलाइट गर्दै, 'स्टेगानोअमोर' भनिने आफ्नो पछिल्लो प्रयासको अनावरण गरे। विश्लेषणले यस अभियानसँग सम्बन्धित 320 भन्दा बढी आक्रमणहरू पत्ता लगाए, जसले विभिन्न क्षेत्रहरू र देशहरूलाई प्रभाव पारेको छ।

SteganoAmor धोखाधडी इमेल को प्रसार संग सुरु हुन्छ

आक्रमणको सुरुआत भ्रामक इमेलहरू देखिने देखिन्छ जसमा हानिकारक कागजात संलग्नकहरू, सामान्यतया एक्सेल वा वर्ड ढाँचामा, CVE-2017-11882 जोखिमको फाइदा उठाउँदै। यो त्रुटि, जसले Microsoft Office समीकरण सम्पादकलाई असर गर्यो र 2017 मा प्याच गरिएको थियो, साझा लक्ष्यको रूपमा कार्य गर्दछ। यी इमेलहरू सम्झौता गरिएका SMTP सर्भरहरूबाट तिनीहरूको वैधता बढाउन र अवरुद्ध हुने सम्भावना कम गर्न पठाइन्छ।

माइक्रोसफ्ट अफिसको पुरानो संस्करण प्रयोग भइरहेको अवस्थामा, एक्स्प्लोइटले वैध 'फाइल खोल्दा टाँस्नुहोस्' सेवाबाट भिजुअल बेसिक स्क्रिप्ट (VBS) को डाउनलोड ट्रिगर गर्दछ। पछि, यो स्क्रिप्टलाई आधार-64 इन्कोड गरिएको पेलोड भएको छवि फाइल (JPG) पुन: प्राप्त गर्न कार्यान्वयन गरिन्छ। छविमा सम्मिलित लिपि भित्र, PowerShell कोडले अन्तिम पेलोडको पुन: प्राप्तिलाई सुविधा दिन्छ, पाठ फाइल भित्र लुकाइएको छ र उल्टो base64 ढाँचामा इन्कोड गरिएको छ।

धेरै हानिकारक धम्कीहरू अन्तिम पेलोडहरूको रूपमा तैनात

अन्वेषकहरूले आक्रमण श्रृंखलाको धेरै पुनरावृत्तिहरू अवलोकन गरेका छन्, प्रत्येकले मालवेयर परिवारहरूको विविध दायराको परिचय दिन्छ। यी मध्ये एजेन्टटेस्ला हो, किलगिङ र क्रेडेन्सियल चोरी गर्न सक्षम स्पाइवेयरको रूपमा कार्य गर्दै; फारमबुक, प्रमाणहरू काट्ने र रिमोट आदेशहरू कार्यान्वयन गर्नमा विशेषज्ञता; Remcos , रिमोट मेसिन व्यवस्थापन र निगरानी सक्षम गर्दै; LokiBot , विभिन्न अनुप्रयोगहरूबाट संवेदनशील डेटा लक्षित गर्दै; Gulo a der, माध्यमिक पेलोडहरूका लागि डाउनलोडरको रूपमा सेवा गर्दै, Snake Keylogger , कीस्ट्रोकहरू र प्रमाणहरू क्याप्चर गर्दै र XWorm , सम्झौता गरिएका कम्प्युटरहरूमा रिमोट पहुँच प्रदान गर्दै।

अन्तिम पेलोडहरू र जालसाजी लिपिहरू प्रायः Google ड्राइभ जस्ता सम्मानित क्लाउड सेवाहरूमा उनीहरूको अनुकूल प्रतिष्ठाको शोषण गर्न र एन्टी-मालवेयर पत्ता लगाउनबाट बच्न शरण पाउँछन्। काटिएको जानकारी सम्झौता वैध FTP सर्भरहरूमा पठाइन्छ, ट्राफिकलाई सामान्य देखिन मास्क गर्दै। ल्याटिन अमेरिकी देशहरूमा प्राथमिक फोकसको साथ 320 भन्दा बढी आक्रमणहरू पहिचान गरिएको छ, यद्यपि लक्ष्यीकरणको दायरा विश्वव्यापी रूपमा फैलिएको छ।

साइबर अपराधीहरूको आर्सेनलमा फिसिङ एक अत्यन्त शक्तिशाली उपकरण बनेको छ

रसिया, बेलारुस, काजाकिस्तान, उज्वेकिस्तान, किर्गिजस्तान, ताजिकिस्तान र आर्मेनियाभरका सरकारी संस्थाहरूलाई लक्षित गरी साइबर अपराधीहरूले सुरु गरेको फिसिङ आक्रमणहरूको एक श्रृंखला इन्फोसेक विशेषज्ञहरूले प्रकाशमा ल्याएका छन्। यी आक्रमणहरूले LazyStealer भनिने मालवेयर प्रयोग गर्दछ, विशेष गरी Google Chrome बाट प्रमाणहरू निकाल्न डिजाइन गरिएको। अन्वेषकहरूले आक्रमणको यस श्रृंखलाको निगरानी गरिरहेका छन्, सामूहिक रूपमा लेजी कोआला भनेर चिनिन्छ, टेलिग्राम बटहरूको कथित नियन्त्रकको नामबाट नामकरण गरिएको छ जसले चोरी डाटा प्राप्त गर्दछ।

यसबाहेक, पीडित जनसांख्यिकी र मालवेयर विशेषताहरूको विश्लेषणले YoroTrooper (जसलाई SturgeonPhisher पनि भनिन्छ) भनिने अर्को ह्याकिङ समूहसँग सम्भावित जडानहरू सुझाव दिन्छ। यस समूहद्वारा प्रयोग गरिएको प्राथमिक उपकरण एक प्राथमिक चोर हो, जसले पत्ता लगाउनबाट बच्न, विश्लेषणमा बाधा पुर्‍याउन, सबै चोरी गरिएका डाटा सङ्कलन गर्न र टेलिग्राम मार्फत प्रसारण गर्न सुरक्षात्मक उपायहरू प्रयोग गर्दछ। टेलिग्राम संचार को एक सुरक्षित माध्यम को रूप मा दुर्भावनापूर्ण अभिनेताहरु द्वारा बढ्दो मनपराएको छ।