عملية هجوم ستيجانوامور

بدأت مجموعة القرصنة TA558 حملة جديدة، تستخدم إخفاء المعلومات لتضمين تعليمات برمجية ضارة داخل الصور. تسمح لهم هذه التقنية بتوزيع مجموعة من أدوات البرامج الضارة سرًا على أنظمة محددة، مما يتجنب اكتشافها من قبل المستخدمين وبرامج الأمان.

منذ عام 2018، شكل TA558 تهديدًا كبيرًا، يستهدف بشكل أساسي كيانات الضيافة والسياحة في جميع أنحاء العالم، مع التركيز بشكل ملحوظ على أمريكا اللاتينية. في الآونة الأخيرة، كشف خبراء الأمن السيبراني عن أحدث مساعيهم، والتي أطلق عليها اسم "SteganoAmor"، مما يسلط الضوء على اعتمادها الكبير على إخفاء المعلومات. وكشف التحليل عن أكثر من 320 هجومًا مرتبطًا بهذه الحملة، مما أثر على قطاعات وبلدان متنوعة.

يبدأ SteganoAmor بنشر رسائل البريد الإلكتروني الاحتيالية

يبدأ الهجوم برسائل بريد إلكتروني خادعة تحمل مرفقات مستندات تبدو غير ضارة، وعادةً ما تكون بتنسيق Excel أو Word، وذلك من خلال الاستفادة من الثغرة الأمنية CVE-2017-11882. يعد هذا الخلل، الذي أثر على محرر المعادلات في Microsoft Office وتم تصحيحه في عام 2017، بمثابة هدف مشترك. يتم إرسال رسائل البريد الإلكتروني هذه من خوادم SMTP المخترقة لتعزيز شرعيتها وتقليل احتمالية حظرها.

في الحالات التي يتم فيها استخدام إصدار قديم من Microsoft Office، تؤدي الثغرة إلى تنزيل برنامج Visual Basic Script (VBS) من خدمة "اللصق عند فتح file.ee" الشرعية. بعد ذلك، يتم تنفيذ هذا البرنامج النصي لاسترداد ملف صورة (JPG) يحتوي على حمولة مشفرة بقاعدة 64. داخل البرنامج النصي المضمن في الصورة، يسهل كود PowerShell استرجاع الحمولة النهائية، المخفية داخل ملف نصي والمشفرة بتنسيق base64 المعكوس.

تم نشر العديد من التهديدات الضارة كحمولات نهائية

وقد لاحظ الباحثون تكرارات عديدة لسلسلة الهجوم، يقدم كل منها مجموعة متنوعة من عائلات البرامج الضارة. ومن بين هذه البرامج AgentTesla ، الذي يعمل كبرنامج تجسس قادر على تسجيل لوحة المفاتيح وسرقة بيانات الاعتماد؛ FormBook، المتخصص في جمع بيانات الاعتماد وتنفيذ الأوامر عن بعد؛ Remcos ، مما يتيح إدارة ومراقبة الآلة عن بعد؛ LokiBot ، يستهدف البيانات الحساسة من مختلف التطبيقات؛ Gulo a der، الذي يعمل بمثابة أداة تنزيل للحمولات الثانوية، و Snake Keylogger ، الذي يلتقط ضغطات المفاتيح وبيانات الاعتماد، و XWorm ، الذي يمنح الوصول عن بعد إلى أجهزة الكمبيوتر المخترقة.

غالبًا ما تجد الحمولات النهائية والنصوص الاحتيالية ملجأً في الخدمات السحابية ذات السمعة الطيبة مثل Google Drive لاستغلال سمعتها المفضلة والتهرب من اكتشاف برامج مكافحة البرامج الضارة. يتم نقل المعلومات المجمعة إلى خوادم بروتوكول نقل الملفات (FTP) المشروعة والمخترقة، مما يؤدي إلى إخفاء حركة المرور لتبدو طبيعية. تم تحديد أكثر من 320 هجومًا، مع التركيز بشكل أساسي على دول أمريكا اللاتينية، على الرغم من أن نطاق الاستهداف يمتد عالميًا.

يظل التصيد الاحتيالي أداة فعالة للغاية في ترسانة مجرمي الإنترنت

تم تسليط الضوء على سلسلة من هجمات التصيد التي شنها مجرمو الإنترنت واستهدفت المنظمات الحكومية في جميع أنحاء روسيا وبيلاروسيا وكازاخستان وأوزبكستان وقيرغيزستان وطاجيكستان وأرمينيا من قبل خبراء أمن المعلومات. تنشر هذه الهجمات برنامجًا ضارًا يسمى LazyStealer، مصممًا خصيصًا لاستخراج بيانات الاعتماد من Google Chrome. يراقب الباحثون هذه السلسلة من الهجمات، والتي يشار إليها مجتمعة باسم Lazy Koala، والتي سميت على اسم المتحكم المزعوم في روبوتات Telegram التي تتلقى البيانات المسروقة.

علاوة على ذلك، يشير تحليل التركيبة السكانية للضحايا وخصائص البرامج الضارة إلى وجود صلات محتملة بمجموعة قرصنة أخرى تُعرف باسم YoroTrooper (المعروفة أيضًا باسم SturgeonPhisher). الأداة الأساسية التي تستخدمها هذه المجموعة هي أداة سرقة بدائية، والتي تستخدم تدابير وقائية لتجنب الكشف وإعاقة التحليل وجمع كل البيانات المسروقة وإرسالها عبر Telegram. لقد تم تفضيل Telegram بشكل متزايد من قبل الجهات الخبيثة كوسيلة اتصال آمنة.