Операция за атака SteganoAmor

Хакерската група TA558 инициира нова кампания, използвайки стеганография за вграждане на вреден код в изображения. Тази техника им позволява тайно да разпространяват набор от инструменти за злонамерен софтуер в конкретни системи, като избягват откриването както от потребителите, така и от софтуера за сигурност.

От 2018 г. TA558 представлява сериозна заплаха, насочена главно към предприятия за хотелиерство и туризъм по целия свят, със забележим фокус върху Латинска Америка. Наскоро експерти по киберсигурност разкриха най-новото си начинание, наречено „SteganoAmor“, подчертавайки силната си зависимост от стеганографията. Анализът разкри повече от 320 атаки, свързани с тази кампания, засягащи различни сектори и държави.

SteganoAmor започва с разпространението на измамни имейли

Атаката започва с измамни имейли, съдържащи привидно безобидни прикачени документи, обикновено във формат Excel или Word, използвайки уязвимостта CVE-2017-11882. Този недостатък, който засегна Microsoft Office Equation Editor и беше коригиран през 2017 г., служи като обща цел. Тези имейли се изпращат от компрометирани SMTP сървъри, за да се подобри тяхната легитимност и да се намали вероятността да бъдат блокирани.

В случаите, когато се използва остаряла версия на Microsoft Office, експлойтът задейства изтеглянето на Visual Basic Script (VBS) от легитимната услуга „поставяне при отваряне на file.ee“. Впоследствие този скрипт се изпълнява за извличане на файл с изображение (JPG), съдържащ полезен товар, кодиран в base-64. В рамките на скрипта, вграден в изображението, кодът на PowerShell улеснява извличането на крайния полезен товар, скрит в текстов файл и кодиран в обърнат base64 формат.

Множество вредни заплахи, внедрени като крайни полезни товари

Изследователите са наблюдавали многобройни повторения на веригата от атаки, всяка от които въвежда разнообразен набор от семейства зловреден софтуер. Сред тях са AgentTesla , функциониращ като шпионски софтуер, способен на кийлогинг и кражба на идентификационни данни; FormBook, специализиран в събиране на идентификационни данни и изпълнение на дистанционни команди; Remcos , позволяващ дистанционно управление и наблюдение на машини; LokiBot , насочен към чувствителни данни от различни приложения; Gulo a der, служещ за изтегляне на вторични полезни товари, Snake Keylogger , улавящ натискания на клавиши и идентификационни данни и XWorm , предоставящ отдалечен достъп до компрометирани компютри.

Крайните полезни натоварвания и измамни скриптове често намират убежище в реномирани облачни услуги като Google Drive, за да се възползват от добрата им репутация и да избегнат откриването на злонамерен софтуер. Събраната информация се предава на компрометирани легитимни FTP сървъри, маскирайки трафика, за да изглежда нормален. Идентифицирани са над 320 атаки, с основен фокус върху страните от Латинска Америка, въпреки че обхватът на насочване се разширява в световен мащаб.

Фишингът остава изключително мощен инструмент в арсенала на киберпрестъпниците

Поредица от фишинг атаки, стартирани от киберпрестъпници, насочени към държавни организации в Русия, Беларус, Казахстан, Узбекистан, Киргизстан, Таджикистан и Армения, бяха разкрити от експерти по информационна сигурност. Тези атаки внедряват злонамерен софтуер, наречен LazyStealer, специално проектиран да извлича идентификационни данни от Google Chrome. Изследователите наблюдават тази поредица от атаки, наричани заедно Lazy Koala, кръстени на предполагаемия контролер на ботовете на Telegram, които получават откраднатите данни.

Освен това анализът на демографските данни на жертвата и характеристиките на зловреден софтуер предполага потенциални връзки с друга хакерска група, известна като YoroTrooper (известна също като SturgeonPhisher). Основният инструмент, използван от тази група, е елементарен крадец, който използва защитни мерки, за да избегне откриването, да възпрепятства анализа, да събере всички откраднати данни и да ги предаде чрез Telegram. Telegram все повече се предпочита от злонамерени участници като сигурно средство за комуникация.