عملیات حمله SteganoAmor

گروه هک TA558 کمپین جدیدی را آغاز کرده است که از استگانوگرافی برای جاسازی کدهای مضر در تصاویر استفاده می کند. این تکنیک به آن‌ها اجازه می‌دهد تا به طور مخفیانه طیفی از ابزارهای بدافزار را در سیستم‌های خاص توزیع کنند و از شناسایی توسط کاربران و نرم‌افزارهای امنیتی اجتناب کنند.

از سال 2018، TA558 یک تهدید مهم به شمار می‌رود که عمدتاً مؤسسات مهمان‌نوازی و گردشگری در سراسر جهان را هدف قرار می‌دهد و تمرکز قابل توجهی بر آمریکای لاتین دارد. اخیراً کارشناسان امنیت سایبری جدیدترین تلاش خود را با نام "SteganoAmor" رونمایی کردند که بر وابستگی شدید آن به استگانوگرافی تاکید می کند. تجزیه و تحلیل بیش از 320 حمله مرتبط با این کمپین را نشان داد که بر بخش ها و کشورهای مختلف تأثیر گذاشته است.

SteganoAmor با انتشار ایمیل های جعلی آغاز می شود

این حمله با ایمیل‌های فریبنده حاوی پیوست‌های اسناد به ظاهر بی‌ضرر، معمولاً در قالب Excel یا Word آغاز می‌شود و از آسیب‌پذیری CVE-2017-11882 استفاده می‌کند. این نقص که بر ویرایشگر معادله آفیس مایکروسافت تأثیر گذاشت و در سال 2017 اصلاح شد، به عنوان یک هدف مشترک عمل می کند. این ایمیل‌ها از سرورهای SMTP در معرض خطر ارسال می‌شوند تا مشروعیت خود را افزایش داده و احتمال مسدود شدن را کاهش دهند.

در مواردی که یک نسخه قدیمی مایکروسافت آفیس در حال استفاده است، این اکسپلویت بارگیری یک اسکریپت ویژوال بیسیک (VBS) را از سرویس قانونی «رب پس از باز کردن فایل.ee» آغاز می‌کند. متعاقبا، این اسکریپت برای بازیابی یک فایل تصویری (JPG) حاوی یک بار رمزگذاری شده پایه 64 اجرا می شود. در اسکریپت تعبیه شده در تصویر، کد PowerShell بازیابی محموله نهایی را که در یک فایل متنی پنهان شده و در قالب معکوس base64 کدگذاری شده است، تسهیل می کند.

تهدیدات مضر متعددی که به عنوان محموله های نهایی مستقر شده اند

محققان تکرارهای متعددی از زنجیره حمله را مشاهده کرده‌اند که هر کدام طیف متنوعی از خانواده‌های بدافزار را معرفی می‌کنند. از جمله AgentTesla است که به عنوان جاسوس‌افزار قادر به ثبت کلید و سرقت اطلاعات است. FormBook، متخصص در برداشت اعتبار و اجرای دستورات از راه دور. Remcos ، امکان مدیریت و نظارت از راه دور ماشین را فراهم می کند. LokiBot ، هدف قرار دادن داده های حساس از برنامه های مختلف؛ Gulo a der، به عنوان دانلود کننده برای بارهای ثانویه، Snake Keylogger ، گرفتن کلیدها و اطلاعات کاربری و XWorm ، اعطای دسترسی از راه دور به رایانه های در معرض خطر.

بارهای نهایی و اسکریپت های تقلبی اغلب به سرویس های ابری معتبر مانند Google Drive پناه می برند تا از شهرت مطلوب خود سوء استفاده کنند و از شناسایی ضد بدافزار فرار کنند. اطلاعات جمع‌آوری‌شده به سرورهای FTP قانونی آسیب‌دیده منتقل می‌شود و ترافیک عادی به نظر می‌رسد. بیش از 320 حمله با تمرکز اصلی بر کشورهای آمریکای لاتین شناسایی شده است، اگرچه دامنه هدف گیری در سطح جهانی گسترش می یابد.

فیشینگ یک ابزار بسیار قدرتمند در زرادخانه مجرمان سایبری باقی مانده است

یک رشته حملات فیشینگ توسط مجرمان سایبری که سازمان‌های دولتی را در سراسر روسیه، بلاروس، قزاقستان، ازبکستان، قرقیزستان، تاجیکستان و ارمنستان هدف قرار می‌دهند توسط کارشناسان infosec فاش شده‌اند. این حملات بدافزاری به نام LazyStealer را مستقر می کنند که به طور خاص برای استخراج اعتبار از Google Chrome طراحی شده است. محققان در حال نظارت بر این سری از حملات هستند که در مجموع به نام کوآلا تنبل نامیده می شود و نام آن برگرفته از کنترل کننده ادعایی ربات های تلگرام است که داده های سرقت شده را دریافت می کنند.

علاوه بر این، تجزیه و تحلیل مشخصات دموگرافیک قربانی و ویژگی‌های بدافزار ارتباط بالقوه‌ای با گروه هکر دیگری به نام YoroTrooper (همچنین با نام SturgeonPhisher) را نشان می‌دهد. ابزار اولیه مورد استفاده توسط این گروه یک دزد ابتدایی است که از اقدامات حفاظتی برای فرار از شناسایی، جلوگیری از تجزیه و تحلیل، جمع آوری تمام داده های سرقت شده و انتقال آن از طریق تلگرام استفاده می کند. تلگرام به عنوان یک وسیله ارتباطی امن به طور فزاینده ای مورد توجه عوامل مخرب قرار گرفته است.