SteganoAmor ründeoperatsioon
TA558 häkkimisrühm on algatanud uue kampaania, kasutades piltidele kahjuliku koodi manustamiseks steganograafiat. See tehnika võimaldab neil salaja levitada mitmesuguseid pahavara tööriistu konkreetsetesse süsteemidesse, vältides nii kasutajate kui ka turvatarkvara tuvastamist.
Alates 2018. aastast on TA558 kujutanud endast märkimisväärset ohtu, mis on peamiselt suunatud hotellindus- ja turismiettevõtetele kogu maailmas, keskendudes tähelepanuväärselt Ladina-Ameerikale. Hiljuti tutvustasid küberjulgeoleku eksperdid oma uusimat ettevõtmist nimega "SteganoAmor", rõhutades selle suurt sõltuvust steganograafiast. Analüüs näitas selle kampaaniaga seotud rohkem kui 320 rünnakut, mis mõjutasid erinevaid sektoreid ja riike.
Sisukord
SteganoAmor alustab petturlike meilide levitamisega
Rünnak algab petlike meilidega, mis sisaldavad näiliselt kahjutuid dokumendimanuseid, tavaliselt Exceli või Wordi vormingus, kasutades ära haavatavust CVE-2017-11882. See viga, mis mõjutas Microsoft Office'i võrrandiredaktorit ja parandati 2017. aastal, on levinud sihtmärk. Need meilid saadetakse ohustatud SMTP-serveritest, et suurendada nende legitiimsust ja vähendada blokeerimise tõenäosust.
Juhtudel, kui kasutusel on Microsoft Office'i aegunud versioon, käivitab ärakasutamine Visual Basic Scripti (VBS) allalaadimise seaduslikust teenusest "kleebi file.ee avamisel". Seejärel käivitatakse see skript, et tuua alla pildifail (JPG), mis sisaldab base-64 kodeeritud kasulikku koormust. Pildile manustatud skriptis hõlbustab PowerShelli kood lõpliku kasuliku koormuse otsimist, mis on peidetud tekstifaili ja kodeeritud ümberpööratud base64-vormingus.
Arvukad kahjulikud ohud, mis on kasutusele võetud lõplike koormustena
Teadlased on täheldanud arvukalt ründeahela iteratsioone, millest igaüks tutvustab mitmesuguseid pahavara perekondi. Nende hulgas on AgentTesla , mis toimib nuhkvarana, mis on võimeline klahvilogimiseks ja mandaatide varguseks; FormBook, mis on spetsialiseerunud mandaatide kogumisele ja kaugkäskude täitmisele; Remcos , mis võimaldab masinate kaughaldust ja -seiret; LokiBot , mis sihib erinevate rakenduste tundlikke andmeid; Gulo a der, mis toimib sekundaarsete kasulike koormuste allalaadijana, Snake Keylogger , mis salvestab klahvivajutusi ja mandaate, ning XWorm , mis annab ohustatud arvutitele kaugjuurdepääsu.
Lõplikud koormused ja petturlikud skriptid leiavad sageli varjupaiga mainekates pilveteenustes, nagu Google Drive, et kasutada ära nende soodsat mainet ja vältida pahavaratõrje tuvastamist. Kogutud teave edastatakse kahjustatud legitiimsetesse FTP-serveritesse, varjates liiklust normaalsena. Tuvastatud on üle 320 rünnaku, keskendudes peamiselt Ladina-Ameerika riikidele, kuigi sihtimise ulatus ulatub kogu maailmas.
Andmepüük on küberkurjategijate arsenalis endiselt väga tõhus tööriist
Infoseci eksperdid tõid päevavalgele rea küberkurjategijate algatatud andmepüügirünnakuid, mis on suunatud valitsusasutustele Venemaal, Valgevenes, Kasahstanis, Usbekistanis, Kõrgõzstanis, Tadžikistanis ja Armeenias. Need rünnakud juurutavad pahavara nimega LazyStealer, mis on spetsiaalselt loodud Google Chrome'ist mandaatide eraldamiseks. Teadlased jälgivad seda rünnakute seeriat, mida ühiselt nimetatakse Lazy Koalaks ja mis on nime saanud varastatud andmeid vastuvõtvate Telegrami robotite väidetava kontrolleri järgi.
Lisaks viitab ohvrite demograafiliste andmete ja pahavara omaduste analüüs potentsiaalsetele seostele teise häkkimisrühmaga, mida tuntakse YoroTrooperina (tuntud ka kui SturgeonPhisher). Peamine tööriist, mida see rühm kasutab, on algeline varastaja, mis kasutab kaitsemeetmeid, et vältida tuvastamist, takistada analüüsi, koguda kõik varjatud andmed ja edastada need Telegrami kaudu. Pahatahtlikud osalejad on Telegrami turvalise suhtlusvahendina üha enam eelistanud.
