Επιχείρηση επίθεσης SteganoAmor
Η ομάδα hacking TA558 ξεκίνησε μια νέα εκστρατεία, χρησιμοποιώντας steganography για να ενσωματώσει επιβλαβή κώδικα σε εικόνες. Αυτή η τεχνική τους επιτρέπει να διανέμουν κρυφά μια σειρά από εργαλεία κακόβουλου λογισμικού σε συγκεκριμένα συστήματα, αποφεύγοντας τον εντοπισμό τόσο από τους χρήστες όσο και από το λογισμικό ασφαλείας.
Από το 2018, το TA558 αποτελεί σημαντική απειλή, στοχεύοντας κυρίως οντότητες φιλοξενίας και τουρισμού σε όλο τον κόσμο, με αξιοσημείωτη εστίαση στη Λατινική Αμερική. Πρόσφατα, ειδικοί στον τομέα της κυβερνοασφάλειας παρουσίασαν την τελευταία τους προσπάθεια, που ονομάζεται «SteganoAmor», υπογραμμίζοντας τη μεγάλη εξάρτησή του από τη στεγανογραφία. Η ανάλυση αποκάλυψε περισσότερες από 320 επιθέσεις που σχετίζονται με αυτήν την εκστρατεία, επηρεάζοντας διάφορους τομείς και χώρες.
Πίνακας περιεχομένων
Το SteganoAmor ξεκινά με τη διάδοση δόλιων μηνυμάτων ηλεκτρονικού ταχυδρομείου
Η επίθεση ξεκινά με παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που φέρουν φαινομενικά αβλαβή συνημμένα εγγράφων, συνήθως σε μορφή Excel ή Word, αξιοποιώντας την ευπάθεια CVE-2017-11882. Αυτό το ελάττωμα, το οποίο επηρέασε το Microsoft Office Equation Editor και επιδιορθώθηκε το 2017, λειτουργεί ως κοινός στόχος. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονται από παραβιασμένους διακομιστές SMTP για να ενισχυθεί η νομιμότητά τους και να μειωθεί η πιθανότητα αποκλεισμού.
Σε περιπτώσεις όπου χρησιμοποιείται μια παλιά έκδοση του Microsoft Office, η εκμετάλλευση ενεργοποιεί τη λήψη μιας δέσμης ενεργειών της Visual Basic (VBS) από τη νόμιμη «επικόλληση κατά το άνοιγμα της υπηρεσίας file.ee». Στη συνέχεια, αυτό το σενάριο εκτελείται για την ανάκτηση ενός αρχείου εικόνας (JPG) που περιέχει ένα ωφέλιμο φορτίο με κωδικοποίηση βάσης-64. Μέσα στο σενάριο που είναι ενσωματωμένο στην εικόνα, ο κώδικας PowerShell διευκολύνει την ανάκτηση του τελικού ωφέλιμου φορτίου, που είναι κρυμμένο σε ένα αρχείο κειμένου και κωδικοποιημένο σε μορφή αντίστροφης βάσης64.
Πολυάριθμες επιβλαβείς απειλές που αναπτύσσονται ως τελικό ωφέλιμο φορτίο
Οι ερευνητές έχουν παρατηρήσει πολλές επαναλήψεις της αλυσίδας επιθέσεων, καθεμία από τις οποίες εισάγει ένα ευρύ φάσμα οικογενειών κακόβουλου λογισμικού. Μεταξύ αυτών είναι το AgentTesla , το οποίο λειτουργεί ως λογισμικό υποκλοπής spyware με δυνατότητα καταγραφής κλειδιών και κλοπής διαπιστευτηρίων. FormBook, εξειδικευμένο στη συλλογή διαπιστευτηρίων και στην εκτέλεση απομακρυσμένων εντολών. Remcos , που επιτρέπει την απομακρυσμένη διαχείριση και επιτήρηση μηχανών. LokiBot , στοχεύοντας ευαίσθητα δεδομένα από διάφορες εφαρμογές. Gulo a der, που χρησιμεύει ως πρόγραμμα λήψης για δευτερεύοντα ωφέλιμα φορτία, Snake Keylogger , λήψη πλήκτρων και διαπιστευτηρίων και XWorm , παραχώρηση απομακρυσμένης πρόσβασης σε παραβιασμένους υπολογιστές.
Τα τελικά ωφέλιμα φορτία και τα δόλια σενάρια βρίσκουν συχνά καταφύγιο σε αξιόπιστες υπηρεσίες cloud όπως το Google Drive για να εκμεταλλευτούν την ευνοϊκή φήμη τους και να αποφύγουν τον εντοπισμό κακόβουλου λογισμικού. Οι συγκεντρωμένες πληροφορίες μεταδίδονται σε παραβιασμένους νόμιμους διακομιστές FTP, καλύπτοντας την κίνηση ώστε να φαίνεται κανονική. Έχουν εντοπιστεί περισσότερες από 320 επιθέσεις, με κύρια εστίαση στις χώρες της Λατινικής Αμερικής, αν και το εύρος στόχευσης εκτείνεται παγκοσμίως.
Το phishing παραμένει ένα εξαιρετικά ισχυρό εργαλείο στο οπλοστάσιο των εγκληματιών του κυβερνοχώρου
Μια σειρά από επιθέσεις phishing που εξαπολύθηκαν από κυβερνοεγκληματίες με στόχο κυβερνητικούς οργανισμούς σε ολόκληρη τη Ρωσία, τη Λευκορωσία, το Καζακστάν, το Ουζμπεκιστάν, το Κιργιστάν, το Τατζικιστάν και την Αρμενία έφεραν στο φως ειδικοί της infosec. Αυτές οι επιθέσεις αναπτύσσουν ένα κακόβουλο λογισμικό που ονομάζεται LazyStealer, ειδικά σχεδιασμένο για την εξαγωγή διαπιστευτηρίων από το Google Chrome. Οι ερευνητές παρακολουθούν αυτή τη σειρά επιθέσεων, που συλλογικά αναφέρεται ως Lazy Koala, που πήρε το όνομά του από τον υποτιθέμενο ελεγκτή των ρομπότ Telegram που λαμβάνουν τα κλοπιμαία δεδομένα.
Επιπλέον, η ανάλυση των δημογραφικών στοιχείων του θύματος και των χαρακτηριστικών κακόβουλου λογισμικού υποδηλώνει πιθανές συνδέσεις με μια άλλη ομάδα hacking γνωστή ως YoroTrooper (επίσης γνωστή ως SturgeonPhisher). Το κύριο εργαλείο που χρησιμοποιεί αυτή η ομάδα είναι ένας στοιχειώδης κλέφτης, ο οποίος χρησιμοποιεί προστατευτικά μέτρα για να αποφύγει τον εντοπισμό, να εμποδίσει την ανάλυση, να συλλέξει όλα τα κλοπιμαία δεδομένα και να τα μεταδώσει μέσω του Telegram. Το Telegram ευνοείται όλο και περισσότερο από κακόβουλους παράγοντες ως ασφαλές μέσο επικοινωνίας.
