SteganoAmor Attack Operaatio
TA558-hakkerointiryhmä on käynnistänyt uuden kampanjan, joka käyttää steganografiaa haitallisen koodin upottamiseksi kuviin. Tämän tekniikan avulla he voivat jakaa salaa erilaisia haittaohjelmatyökaluja tiettyihin järjestelmiin välttäen sekä käyttäjien että tietoturvaohjelmistojen havaitsemisen.
Vuodesta 2018 lähtien TA558 on aiheuttanut merkittävän uhan, ja se on kohdistettu pääasiassa hotelli- ja matkailualan toimijoihin ympäri maailmaa, ja se on keskittynyt erityisesti Latinalaiseen Amerikkaan. Hiljattain kyberturvallisuusasiantuntijat paljastivat uusimman hankkeensa, nimeltään "SteganoAmor", korostaen sen suurta riippuvuutta steganografiasta. Analyysi paljasti yli 320 tähän kampanjaan liittyvää hyökkäystä, jotka vaikuttivat eri aloihin ja maihin.
Sisällysluettelo
SteganoAmor alkaa vilpillisten sähköpostien levittämisellä
Hyökkäys alkaa petollisilla sähköpostiviesteillä, jotka sisältävät näennäisesti vaarattomia asiakirjaliitteitä, tyypillisesti Excel- tai Word-muodossa, hyödyntäen CVE-2017-11882-haavoittuvuutta. Tämä virhe, joka vaikutti Microsoft Office Equation Editoriin ja korjattiin vuonna 2017, toimii yleisenä kohteena. Nämä sähköpostit lähetetään vaarantuneista SMTP-palvelimista niiden legitimiteetin parantamiseksi ja eston todennäköisyyden vähentämiseksi.
Tapauksissa, joissa Microsoft Officen vanhentunut versio on käytössä, hyväksikäyttö käynnistää Visual Basic Script (VBS) -latauksen laillisesta "liitä avattaessa file.ee" -palvelusta. Tämän jälkeen tämä komentosarja suoritetaan kuvatiedoston (JPG) hakemiseksi, joka sisältää base-64-koodatun hyötykuorman. Kuvaan upotetun skriptin sisällä PowerShell-koodi helpottaa lopullisen hyötykuorman hakemista, joka on piilotettu tekstitiedostoon ja koodattu käänteiseen base64-muotoon.
Lukuisia haitallisia uhkia käytetään lopullisina hyötykuormina
Tutkijat ovat havainneet lukuisia hyökkäysketjun iteraatioita, joista jokainen esittelee erilaisia haittaohjelmaperheitä. Näitä ovat AgentTesla , joka toimii vakoiluohjelmina, jotka kykenevät kirjaamaan näppäimiä ja varastamaan tunnistetietoja; FormBook, joka on erikoistunut valtuustietojen keräämiseen ja etäkomentojen suorittamiseen; Remcos , joka mahdollistaa koneiden etähallinnan ja -valvonnan; LokiBot , joka kohdistaa arkaluonteisiin tietoihin eri sovelluksista; Gulo a der, joka toimii latausohjelmana toissijaisille hyötykuormille, Snake Keylogger , joka kaappaa näppäinpainalluksia ja tunnistetietoja, ja XWorm , joka mahdollistaa etäkäytön vaarantuneille tietokoneille.
Lopulliset hyötykuormat ja vilpilliset skriptit löytävät usein turvapaikan hyvämaineisissa pilvipalveluissa, kuten Google Drivessa, hyödyntääkseen myönteistä mainetta ja välttääkseen haittaohjelmien havaitsemisen. Kerätyt tiedot välitetään vaarantuneille laillisille FTP-palvelimille, mikä peittää liikenteen näyttämään normaalilta. Yli 320 hyökkäystä on tunnistettu, ja ne kohdistuvat ensisijaisesti Latinalaisen Amerikan maihin, vaikka kohdealue ulottuu maailmanlaajuisesti.
Tietojenkalastelu on edelleen äärimmäisen tehokas työkalu kyberrikollisten arsenaalissa
Infosec-asiantuntijat ovat tuoneet päivänvaloon sarjan verkkorikollisten käynnistämiä tietojenkalasteluhyökkäyksiä, jotka on kohdistettu valtion organisaatioihin Venäjällä, Valko-Venäjällä, Kazakstanissa, Uzbekistanissa, Kirgisiassa, Tadžikistanissa ja Armeniassa. Nämä hyökkäykset käyttävät LazyStealer-nimistä haittaohjelmaa, joka on erityisesti suunniteltu poimimaan tunnistetiedot Google Chromesta. Tutkijat seuraavat tätä hyökkäyssarjaa, jota kutsutaan yhteisesti Lazy Koalaksi ja joka on nimetty varastettuja tietoja vastaanottavien Telegram-bottien väitetyn ohjaimen mukaan.
Lisäksi uhrien demografisten ja haittaohjelmien ominaisuuksien analyysi viittaa mahdollisiin yhteyksiin toiseen hakkerointiryhmään, joka tunnetaan nimellä YoroTrooper (tunnetaan myös nimellä SturgeonPhisher). Tämän ryhmän käyttämä ensisijainen työkalu on alkeellinen varastaja, joka käyttää suojatoimenpiteitä havaitsemisen välttämiseksi, analysoinnin estämiseksi, kaiken ryöstetyn tiedon keräämiseksi ja sen lähettämiseksi Telegramin kautta. Haitalliset toimijat ovat suosineet Telegramia yhä enemmän turvallisena viestintävälineenä.
