Útočná operace SteganoAmor
Hackerská skupina TA558 zahájila novou kampaň, která využívá steganografii k vkládání škodlivého kódu do obrázků. Tato technika jim umožňuje tajně distribuovat řadu malwarových nástrojů do konkrétních systémů a vyhýbat se detekci ze strany uživatelů i bezpečnostního softwaru.
Od roku 2018 představuje TA558 významnou hrozbu, která se zaměřuje především na subjekty v oblasti pohostinství a cestovního ruchu po celém světě, s výrazným zaměřením na Latinskou Ameriku. Nedávno odborníci na kybernetickou bezpečnost odhalili svůj nejnovější počin nazvaný „SteganoAmor“, který zdůraznil jeho silnou závislost na steganografii. Analýza odhalila více než 320 útoků spojených s touto kampaní, které zasáhly různé sektory a země.
Obsah
SteganoAmor začíná šířením podvodných e-mailů
Útok začíná podvodnými e-maily obsahujícími zdánlivě neškodné přílohy dokumentů, obvykle ve formátu Excel nebo Word, využívající zranitelnost CVE-2017-11882. Tato chyba, která ovlivnila editor rovnic Microsoft Office a byla opravena v roce 2017, slouží jako společný cíl. Tyto e-maily jsou odesílány z napadených serverů SMTP, aby se zvýšila jejich legitimita a snížila se pravděpodobnost zablokování.
V případech, kdy se používá zastaralá verze Microsoft Office, exploit spustí stažení skriptu Visual Basic Script (VBS) z legitimní služby „vložit při otevření souboru.ee“. Následně je tento skript spuštěn pro načtení souboru obrázku (JPG) obsahujícího data kódovaná base-64. Ve skriptu vloženém do obrázku usnadňuje kód PowerShellu načtení konečného užitečného zatížení, skrytého v textovém souboru a zakódovaného v obráceném formátu base64.
Četné škodlivé hrozby nasazené jako konečné užitečné zatížení
Výzkumníci pozorovali četné opakování řetězce útoků, z nichž každá představuje rozmanitou škálu rodin malwaru. Mezi ně patří AgentTesla , fungující jako spyware schopný zaznamenávat klíče a odcizit pověření; FormBook, specializující se na získávání pověření a provádění vzdálených příkazů; Remcos , umožňující vzdálenou správu strojů a dohled; LokiBot , cílící na citlivá data z různých aplikací; Gulo a der, sloužící jako downloader pro sekundární užitečné zatížení, Snake Keylogger , zachycující stisknuté klávesy a pověření a XWorm , poskytující vzdálený přístup k napadeným počítačům.
Konečné užitečné zatížení a podvodné skripty často nacházejí útočiště v renomovaných cloudových službách, jako je Disk Google, aby využily své příznivé pověsti a vyhnuly se detekci antimalwaru. Shromážděné informace jsou přenášeny na kompromitované legitimní servery FTP, čímž se provoz maskuje tak, aby vypadal normálně. Bylo identifikováno více než 320 útoků s primárním zaměřením na země Latinské Ameriky, i když rozsah cílení je celosvětový.
Phishing zůstává extrémně účinným nástrojem v arzenálu kyberzločinců
Odborníci z Infosec odhalili řadu phishingových útoků, které spustili kyberzločinci zaměřené na vládní organizace v Rusku, Bělorusku, Kazachstánu, Uzbekistánu, Kyrgyzstánu, Tádžikistánu a Arménii. Tyto útoky nasazují malware nazvaný LazyStealer, speciálně navržený k extrahování přihlašovacích údajů z Google Chrome. Výzkumníci sledují tuto sérii útoků, souhrnně označovaných jako Lazy Koala, pojmenované po údajném kontrolorovi robotů Telegram, kteří přijímají ukradená data.
Kromě toho analýza demografie obětí a charakteristik malwaru naznačuje potenciální spojení s další hackerskou skupinou známou jako YoroTrooper (také známou jako SturgeonPhisher). Primárním nástrojem používaným touto skupinou je základní zloděj, který využívá ochranná opatření, aby se vyhnul detekci, bránil analýze, shromažďoval všechna ukradená data a předával je prostřednictvím telegramu. Telegram byl stále více zvýhodňován zlomyslnými aktéry jako bezpečný prostředek komunikace.
