מבצע התקפה SteganoAmor

קבוצת הפריצה TA558 יזמה קמפיין חדש, תוך שימוש בסטגנוגרפיה כדי להטמיע קוד מזיק בתוך תמונות. טכניקה זו מאפשרת להם להפיץ בחשאי מגוון כלים של תוכנות זדוניות על גבי מערכות ספציפיות, תוך התחמקות מזיהוי הן על ידי משתמשים ותוכנות אבטחה.

מאז 2018, TA558 היווה איום משמעותי, בעיקר מכוון לגופי אירוח ותיירות ברחבי העולם, עם התמקדות בולטת באמריקה הלטינית. לאחרונה, מומחי אבטחת סייבר חשפו את המאמץ האחרון שלהם, המכונה 'SteganoAmor', והדגישו את הסתמכותו הרבה על סטגנוגרפיה. ניתוח חשף יותר מ-320 התקפות הקשורות לקמפיין זה, והשפיעו על מגזרים ומדינות מגוונות.

SteganoAmor מתחיל בהפצת מיילים הונאה

המתקפה מתחילה באימיילים מטעים הנושאים קבצים מצורפים של מסמכים לא מזיקים לכאורה, בדרך כלל בפורמט Excel או Word, הממנפים את הפגיעות של CVE-2017-11882. פגם זה, שהשפיע על עורך המשוואות של Microsoft Office ותוקן ב-2017, משמש כמטרה נפוצה. הודעות דוא"ל אלו נשלחות משרתי SMTP שנפגעו כדי לשפר את הלגיטימיות שלהם ולהפחית את הסבירות להיחסם.

במקרים שבהם גרסה מיושנת של Microsoft Office נמצאת בשימוש, הניצול מפעיל הורדה של Visual Basic Script (VBS) מהשירות הלגיטימי 'הדבק בעת פתיחת הקובץ.ee'. לאחר מכן, סקריפט זה מבוצע כדי לאחזר קובץ תמונה (JPG) המכיל מטען מקודד בסיס 64. בתוך הסקריפט המוטבע בתמונה, קוד PowerShell מקל על אחזור המטען הסופי, מוסתר בתוך קובץ טקסט ומקודד בפורמט הפוך base64.

איומים מזיקים רבים שנפרסו כמטענים אחרונים

חוקרים צפו באיטרציות רבות של שרשרת ההתקפה, שכל אחת מהן מציגה מגוון מגוון של משפחות תוכנות זדוניות. בין אלה ניתן למצוא את AgentTesla , המתפקדת כתוכנת ריגול המסוגלת לבצע רישום מקשים וגניבת אישורים; FormBook, המתמחה בקצירת אישורים וביצוע פקודות מרחוק; Remcos , המאפשר ניהול ומעקב מכונות מרחוק; LokiBot , מיקוד נתונים רגישים מיישומים שונים; Gulo a der, משמש בתור הורדה עבור מטענים משניים, Snake Keylogger , לכידת הקשות ואישורים ו- XWorm , המעניק גישה מרחוק למחשבים שנפגעו.

המטענים הסופיים והתסריטים המזויפים מוצאים לעתים קרובות מפלט בשירותי ענן מכובדים כמו Google Drive כדי לנצל את המוניטין הטוב שלהם ולהתחמק מזיהוי נגד תוכנות זדוניות. מידע שנאסף מועבר לשרתי FTP לגיטימיים שנפגעו, ומסווה את התעבורה כך שתראה רגילה. יותר מ-320 התקפות זוהו, עם התמקדות עיקרית במדינות אמריקה הלטינית, אם כי היקף המיקוד משתרע ברחבי העולם.

פישינג נשאר כלי חזק ביותר בארסנל של פושעי סייבר

שורה של התקפות דיוג ששוגרו על ידי פושעי סייבר המכוונות לארגונים ממשלתיים ברחבי רוסיה, בלארוס, קזחסטן, אוזבקיסטן, קירגיזסטן, טג'יקיסטן וארמניה הובאו לידי ביטוי על ידי מומחי infosec. התקפות אלו פורסות תוכנה זדונית בשם LazyStealer, שתוכננה במיוחד כדי לחלץ אישורים מ-Google Chrome. חוקרים עוקבים אחר סדרת התקפות זו, המכונה ביחד קואלה עצלן, על שם הבקר לכאורה של הבוטים של טלגרם שמקבלים את הנתונים שנגנבו.

יתר על כן, ניתוח של המאפיינים הדמוגרפיים של הקורבן ותוכנות זדוניות מצביע על קשרים פוטנציאליים לקבוצת פריצה אחרת המכונה YoroTrooper (הידועה גם בשם SturgeonPhisher). הכלי העיקרי בו משתמשת קבוצה זו הוא גנב ראשוני, שמשתמש באמצעי הגנה כדי להתחמק מזיהוי, לעכב ניתוח, לאסוף את כל הנתונים שנגנבו ולשדר אותם באמצעות טלגרם. טלגרם זוכה יותר ויותר לחביבות על ידי שחקנים זדוניים כאמצעי תקשורת מאובטח.