SteganoAmor Attack Operation
TA558-hackergruppen har indledt en ny kampagne, der anvender steganografi til at indlejre skadelig kode i billeder. Denne teknik giver dem mulighed for hemmeligt at distribuere en række malware-værktøjer på specifikke systemer, og undgå registrering af både brugere og sikkerhedssoftware.
Siden 2018 har TA558 udgjort en betydelig trussel, hovedsageligt rettet mod gæstfriheds- og turismeenheder over hele kloden, med et bemærkelsesværdigt fokus på Latinamerika. For nylig afslørede cybersikkerhedseksperter deres seneste bestræbelse, kaldet 'SteganoAmor', der fremhæver dens store afhængighed af steganografi. Analyse afslørede mere end 320 angreb i forbindelse med denne kampagne, der påvirker forskellige sektorer og lande.
Indholdsfortegnelse
SteganoAmor begynder med spredning af svigagtige e-mails
Angrebet begynder med vildledende e-mails med tilsyneladende harmløse vedhæftede dokumenter, typisk i Excel- eller Word-format, der udnytter CVE-2017-11882-sårbarheden. Denne fejl, som påvirkede Microsoft Office Equation Editor og blev rettet i 2017, fungerer som et fælles mål. Disse e-mails afsendes fra kompromitterede SMTP-servere for at øge deres legitimitet og reducere sandsynligheden for at blive blokeret.
I tilfælde, hvor en forældet version af Microsoft Office er i brug, udløser udnyttelsen download af et Visual Basic Script (VBS) fra den lovlige 'indsæt ved åbning af file.ee'-tjenesten. Efterfølgende udføres dette script for at hente en billedfil (JPG), der indeholder en base-64-kodet nyttelast. I scriptet, der er indlejret i billedet, letter PowerShell-koden hentning af den endelige nyttelast, skjult i en tekstfil og kodet i omvendt base64-format.
Talrige skadelige trusler implementeret som endelige nyttelaster
Forskere har observeret adskillige iterationer af angrebskæden, der hver introducerer en bred vifte af malware-familier. Blandt disse er AgentTesla , der fungerer som spyware, der er i stand til keylogging og tyveri af legitimationsoplysninger; FormBook, specialiseret i indsamling af legitimationsoplysninger og udførelse af fjernkommandoer; Remcos , der muliggør fjernstyring og overvågning af maskiner; LokiBot , målrettet mod følsomme data fra forskellige applikationer; Gulo a der, der fungerer som downloader til sekundære nyttelaster, Snake Keylogger , fanger tastetryk og legitimationsoplysninger og XWorm , der giver fjernadgang til kompromitterede computere.
De endelige nyttelaster og svigagtige scripts finder ofte tilflugt i velrenommerede cloud-tjenester som Google Drive for at udnytte deres gunstige omdømme og undgå anti-malware-detektion. Høstede oplysninger overføres til kompromitterede legitime FTP-servere, hvilket maskerer trafikken, så den ser normal ud. Over 320 angreb er blevet identificeret med primært fokus på latinamerikanske lande, selvom målretningsområdet strækker sig globalt.
Phishing forbliver et ekstremt potent værktøj i cyberkriminelles arsenal
En række phishing-angreb lanceret af cyberkriminelle rettet mod statslige organisationer i Rusland, Hviderusland, Kasakhstan, Usbekistan, Kirgisistan, Tadsjikistan og Armenien er blevet bragt frem af infosec-eksperter. Disse angreb implementerer en malware kaldet LazyStealer, der er specielt designet til at udtrække legitimationsoplysninger fra Google Chrome. Forskere overvåger denne serie af angreb, samlet omtalt som Lazy Koala, opkaldt efter den påståede controller af Telegram-bots, der modtager de stjålne data.
Desuden tyder analyse af ofrets demografi og malware-karakteristika på potentielle forbindelser til en anden hackergruppe kendt som YoroTrooper (også kendt som SturgeonPhisher). Det primære værktøj, som denne gruppe bruger, er en rudimentær stjæler, som anvender beskyttelsesforanstaltninger for at undgå opdagelse, hindre analyse, indsamle alle stjålne data og overføre dem via telegram. Telegram er i stigende grad blevet begunstiget af ondsindede aktører som et sikkert kommunikationsmiddel.
