عملیات حمله SteganoAmor
گروه هک TA558 کمپین جدیدی را آغاز کرده است که از استگانوگرافی برای جاسازی کدهای مضر در تصاویر استفاده می کند. این تکنیک به آنها اجازه میدهد تا به طور مخفیانه طیفی از ابزارهای بدافزار را در سیستمهای خاص توزیع کنند و از شناسایی توسط کاربران و نرمافزارهای امنیتی اجتناب کنند.
از سال 2018، TA558 یک تهدید مهم به شمار میرود که عمدتاً مؤسسات مهماننوازی و گردشگری در سراسر جهان را هدف قرار میدهد و تمرکز قابل توجهی بر آمریکای لاتین دارد. اخیراً کارشناسان امنیت سایبری جدیدترین تلاش خود را با نام "SteganoAmor" رونمایی کردند که بر وابستگی شدید آن به استگانوگرافی تاکید می کند. تجزیه و تحلیل بیش از 320 حمله مرتبط با این کمپین را نشان داد که بر بخش ها و کشورهای مختلف تأثیر گذاشته است.
فهرست مطالب
SteganoAmor با انتشار ایمیل های جعلی آغاز می شود
این حمله با ایمیلهای فریبنده حاوی پیوستهای اسناد به ظاهر بیضرر، معمولاً در قالب Excel یا Word آغاز میشود و از آسیبپذیری CVE-2017-11882 استفاده میکند. این نقص که بر ویرایشگر معادله آفیس مایکروسافت تأثیر گذاشت و در سال 2017 اصلاح شد، به عنوان یک هدف مشترک عمل می کند. این ایمیلها از سرورهای SMTP در معرض خطر ارسال میشوند تا مشروعیت خود را افزایش داده و احتمال مسدود شدن را کاهش دهند.
در مواردی که یک نسخه قدیمی مایکروسافت آفیس در حال استفاده است، این اکسپلویت بارگیری یک اسکریپت ویژوال بیسیک (VBS) را از سرویس قانونی «رب پس از باز کردن فایل.ee» آغاز میکند. متعاقبا، این اسکریپت برای بازیابی یک فایل تصویری (JPG) حاوی یک بار رمزگذاری شده پایه 64 اجرا می شود. در اسکریپت تعبیه شده در تصویر، کد PowerShell بازیابی محموله نهایی را که در یک فایل متنی پنهان شده و در قالب معکوس base64 کدگذاری شده است، تسهیل می کند.
تهدیدات مضر متعددی که به عنوان محموله های نهایی مستقر شده اند
محققان تکرارهای متعددی از زنجیره حمله را مشاهده کردهاند که هر کدام طیف متنوعی از خانوادههای بدافزار را معرفی میکنند. از جمله AgentTesla است که به عنوان جاسوسافزار قادر به ثبت کلید و سرقت اطلاعات است. FormBook، متخصص در برداشت اعتبار و اجرای دستورات از راه دور. Remcos ، امکان مدیریت و نظارت از راه دور ماشین را فراهم می کند. LokiBot ، هدف قرار دادن داده های حساس از برنامه های مختلف؛ Gulo a der، به عنوان دانلود کننده برای بارهای ثانویه، Snake Keylogger ، گرفتن کلیدها و اطلاعات کاربری و XWorm ، اعطای دسترسی از راه دور به رایانه های در معرض خطر.
بارهای نهایی و اسکریپت های تقلبی اغلب به سرویس های ابری معتبر مانند Google Drive پناه می برند تا از شهرت مطلوب خود سوء استفاده کنند و از شناسایی ضد بدافزار فرار کنند. اطلاعات جمعآوریشده به سرورهای FTP قانونی آسیبدیده منتقل میشود و ترافیک عادی به نظر میرسد. بیش از 320 حمله با تمرکز اصلی بر کشورهای آمریکای لاتین شناسایی شده است، اگرچه دامنه هدف گیری در سطح جهانی گسترش می یابد.
فیشینگ یک ابزار بسیار قدرتمند در زرادخانه مجرمان سایبری باقی مانده است
یک رشته حملات فیشینگ توسط مجرمان سایبری که سازمانهای دولتی را در سراسر روسیه، بلاروس، قزاقستان، ازبکستان، قرقیزستان، تاجیکستان و ارمنستان هدف قرار میدهند توسط کارشناسان infosec فاش شدهاند. این حملات بدافزاری به نام LazyStealer را مستقر می کنند که به طور خاص برای استخراج اعتبار از Google Chrome طراحی شده است. محققان در حال نظارت بر این سری از حملات هستند که در مجموع به نام کوآلا تنبل نامیده می شود و نام آن برگرفته از کنترل کننده ادعایی ربات های تلگرام است که داده های سرقت شده را دریافت می کنند.
علاوه بر این، تجزیه و تحلیل مشخصات دموگرافیک قربانی و ویژگیهای بدافزار ارتباط بالقوهای با گروه هکر دیگری به نام YoroTrooper (همچنین با نام SturgeonPhisher) را نشان میدهد. ابزار اولیه مورد استفاده توسط این گروه یک دزد ابتدایی است که از اقدامات حفاظتی برای فرار از شناسایی، جلوگیری از تجزیه و تحلیل، جمع آوری تمام داده های سرقت شده و انتقال آن از طریق تلگرام استفاده می کند. تلگرام به عنوان یک وسیله ارتباطی امن به طور فزاینده ای مورد توجه عوامل مخرب قرار گرفته است.