Operacioni i sulmit SteganoAmor
Grupi i hakerëve TA558 ka iniciuar një fushatë të re, duke përdorur steganografinë për të futur kodin e dëmshëm brenda imazheve. Kjo teknikë i lejon ata të shpërndajnë në mënyrë klandestine një sërë mjetesh malware në sisteme specifike, duke shmangur zbulimin si nga përdoruesit ashtu edhe nga programet e sigurisë.
Që nga viti 2018, TA558 ka paraqitur një kërcënim të rëndësishëm, duke synuar kryesisht entitetet e mikpritjes dhe turizmit në të gjithë globin, me një fokus të dukshëm në Amerikën Latine. Kohët e fundit, ekspertët e sigurisë kibernetike zbuluan përpjekjen e tyre më të fundit, të quajtur "SteganoAmor", duke theksuar mbështetjen e madhe të saj në steganografi. Analiza zbuloi më shumë se 320 sulme të lidhura me këtë fushatë, duke ndikuar në sektorë dhe vende të ndryshme.
Tabela e Përmbajtjes
SteganoAmor fillon me shpërndarjen e emaileve mashtruese
Sulmi fillon me emaile mashtruese që përmbajnë bashkëngjitje dokumentesh në dukje të padëmshme, zakonisht në format Excel ose Word, duke shfrytëzuar cenueshmërinë CVE-2017-11882. Kjo e metë, e cila preku Microsoft Office Equation Editor dhe u rregullua në vitin 2017, shërben si një objektiv i përbashkët. Këto emaile dërgohen nga serverë SMTP të komprometuar për të rritur legjitimitetin e tyre dhe për të zvogëluar gjasat për t'u bllokuar.
Në rastet kur një version i vjetëruar i Microsoft Office është në përdorim, shfrytëzimi shkakton shkarkimin e një Skripti Visual Basic (VBS) nga shërbimi legjitim 'paste me hapjen e skedarit.ee'. Më pas, ky skript ekzekutohet për të tërhequr një skedar imazhi (JPG) që përmban një ngarkesë të koduar bazë-64. Brenda skriptit të ngulitur në imazh, kodi PowerShell lehtëson rikthimin e ngarkesës përfundimtare, të fshehur brenda një skedari teksti dhe të koduar në formatin e kundërt base64.
Kërcënime të shumta të dëmshme të vendosura si ngarkesa përfundimtare
Studiuesit kanë vëzhguar përsëritje të shumta të zinxhirit të sulmit, secili duke prezantuar një gamë të larmishme familjesh malware. Midis tyre janë AgentTesla , që funksionon si spyware i aftë për regjistrimin e çelësave dhe vjedhjen e kredencialeve; FormBook, i specializuar në mbledhjen e kredencialeve dhe ekzekutimin e komandave në distancë; Remcos , duke mundësuar menaxhimin dhe mbikëqyrjen e makinës në distancë; LokiBot , duke synuar të dhëna të ndjeshme nga aplikacione të ndryshme; Gulo a der, që shërben si shkarkues për ngarkesat dytësore, Snake Keylogger , kapjen e tasteve dhe kredencialet dhe XWorm , duke u dhënë akses në distancë kompjuterëve të komprometuar.
Ngarkesat përfundimtare dhe skriptet mashtruese shpesh gjejnë strehë në shërbimet me reputacion të cloud si Google Drive për të shfrytëzuar reputacionin e tyre të favorshëm dhe për të shmangur zbulimin e anti-malware. Informacioni i mbledhur transmetohet në serverët e ligjshëm FTP të komprometuar, duke maskuar trafikun që të duket normal. Janë identifikuar mbi 320 sulme, me fokus parësor në vendet e Amerikës Latine, megjithëse shtrirja e synimeve shtrihet globalisht.
Phishing mbetet një mjet jashtëzakonisht i fuqishëm në Arsenalin e Kriminelëve Kibernetikë
Një varg sulmesh phishing të nisura nga kriminelët kibernetikë që synojnë organizatat qeveritare në të gjithë Rusinë, Bjellorusinë, Kazakistanin, Uzbekistanin, Kirgistanin, Taxhikistanin dhe Armenia janë nxjerrë në dritë nga ekspertët e infosec. Këto sulme vendosin një malware të quajtur LazyStealer, i krijuar posaçërisht për të nxjerrë kredencialet nga Google Chrome. Studiuesit po monitorojnë këtë seri sulmesh, të referuara kolektivisht si Lazy Koala, të emërtuar sipas kontrolluesit të supozuar të robotëve Telegram që marrin të dhënat e grabitura.
Për më tepër, analiza e demografisë së viktimës dhe karakteristikave të malware sugjeron lidhje të mundshme me një grup tjetër hakerimi të njohur si YoroTrooper (i njohur gjithashtu si SturgeonPhisher). Mjeti kryesor i përdorur nga ky grup është një vjedhës rudimentar, i cili përdor masa mbrojtëse për të shmangur zbulimin, penguar analizën, mbledhjen e të gjitha të dhënave të vjedhura dhe transmetimin e tyre nëpërmjet Telegramit. Telegrami është favorizuar gjithnjë e më shumë nga aktorët keqdashës si një mjet i sigurt komunikimi.
