स्टेगानोअमोर हमला ऑपरेशन

TA558 हैकिंग समूह ने एक नया अभियान शुरू किया है, जिसमें स्टेगनोग्राफी का उपयोग करके छवियों में हानिकारक कोड एम्बेड किया जा रहा है। यह तकनीक उन्हें विशिष्ट सिस्टम पर मैलवेयर टूल की एक श्रृंखला को गुप्त रूप से वितरित करने की अनुमति देती है, जिससे उपयोगकर्ता और सुरक्षा सॉफ़्टवेयर दोनों ही इसका पता नहीं लगा पाते हैं।

2018 से, TA558 ने एक बड़ा खतरा पैदा किया है, मुख्य रूप से लैटिन अमेरिका पर ध्यान केंद्रित करते हुए, दुनिया भर में आतिथ्य और पर्यटन संस्थाओं को निशाना बनाया है। हाल ही में, साइबर सुरक्षा विशेषज्ञों ने अपने नवीनतम प्रयास का अनावरण किया, जिसे 'स्टेगनोअमोर' कहा जाता है, जो स्टेगनोग्राफी पर इसकी भारी निर्भरता को उजागर करता है। विश्लेषण से पता चला कि इस अभियान से जुड़े 320 से अधिक हमले हुए, जो विभिन्न क्षेत्रों और देशों को प्रभावित कर रहे हैं।

स्टेगानोअमोर ने धोखाधड़ी वाले ईमेल के प्रसार से शुरुआत की

यह हमला भ्रामक ईमेल से शुरू होता है, जिसमें आमतौर पर एक्सेल या वर्ड फॉर्मेट में हानिरहित दस्तावेज़ अटैचमेंट होते हैं, जो CVE-2017-11882 भेद्यता का लाभ उठाते हैं। यह दोष, जिसने Microsoft Office Equation Editor को प्रभावित किया था और जिसे 2017 में पैच किया गया था, एक सामान्य लक्ष्य के रूप में कार्य करता है। इन ईमेल को उनकी वैधता बढ़ाने और अवरुद्ध होने की संभावना को कम करने के लिए समझौता किए गए SMTP सर्वर से भेजा जाता है।

ऐसे मामलों में जहां Microsoft Office का पुराना संस्करण उपयोग में है, शोषण वैध 'फ़ाइल खोलने पर पेस्ट करें' सेवा से Visual Basic स्क्रिप्ट (VBS) के डाउनलोड को ट्रिगर करता है। इसके बाद, इस स्क्रिप्ट को एक छवि फ़ाइल (JPG) को पुनर्प्राप्त करने के लिए निष्पादित किया जाता है जिसमें बेस-64 एनकोडेड पेलोड होता है। छवि में एम्बेडेड स्क्रिप्ट के भीतर, PowerShell कोड अंतिम पेलोड की पुनर्प्राप्ति की सुविधा देता है, जो एक टेक्स्ट फ़ाइल के भीतर छिपा होता है और रिवर्स बेस 64 प्रारूप में एनकोड किया जाता है।

कई हानिकारक खतरों को अंतिम पेलोड के रूप में तैनात किया गया

शोधकर्ताओं ने हमले की श्रृंखला के कई पुनरावृत्तियों को देखा है, जिनमें से प्रत्येक मैलवेयर परिवारों की एक विविध श्रेणी को पेश करता है। इनमें से एजेंटटेस्ला , कीलॉगिंग और क्रेडेंशियल चोरी करने में सक्षम स्पाइवेयर के रूप में कार्य करता है; फॉर्मबुक, क्रेडेंशियल हार्वेस्टिंग और रिमोट कमांड निष्पादित करने में विशिष्ट है; रेमकोस , रिमोट मशीन प्रबंधन और निगरानी को सक्षम करता है; लोकीबॉट , विभिन्न अनुप्रयोगों से संवेदनशील डेटा को लक्षित करता है; गुलो ए डेर, सेकेंडरी पेलोड के लिए डाउनलोडर के रूप में कार्य करता है, स्नेक कीलॉगर , कीस्ट्रोक्स और क्रेडेंशियल कैप्चर करता है और एक्सवॉर्म , समझौता किए गए कंप्यूटरों तक दूरस्थ पहुंच प्रदान करता है।

अंतिम पेलोड और धोखाधड़ी वाली स्क्रिप्ट अक्सर Google Drive जैसी प्रतिष्ठित क्लाउड सेवाओं में शरण लेती हैं ताकि उनकी अनुकूल प्रतिष्ठा का फायदा उठाया जा सके और एंटी-मैलवेयर पहचान से बचा जा सके। एकत्रित जानकारी को समझौता किए गए वैध FTP सर्वर पर भेजा जाता है, जिससे ट्रैफ़िक सामान्य दिखाई देता है। 320 से अधिक हमलों की पहचान की गई है, जिनमें मुख्य रूप से लैटिन अमेरिकी देशों पर ध्यान केंद्रित किया गया है, हालांकि लक्ष्यीकरण का दायरा वैश्विक स्तर पर फैला हुआ है।

फ़िशिंग साइबर अपराधियों के शस्त्रागार में एक अत्यंत शक्तिशाली हथियार बना हुआ है

रूस, बेलारूस, कजाकिस्तान, उज्बेकिस्तान, किर्गिस्तान, ताजिकिस्तान और आर्मेनिया में सरकारी संगठनों को निशाना बनाकर साइबर अपराधियों द्वारा शुरू किए गए फ़िशिंग हमलों की एक श्रृंखला को इन्फोसेक विशेषज्ञों द्वारा प्रकाश में लाया गया है। ये हमले लेज़ीस्टीलर नामक मैलवेयर का उपयोग करते हैं, जिसे विशेष रूप से Google Chrome से क्रेडेंशियल निकालने के लिए डिज़ाइन किया गया है। शोधकर्ता हमलों की इस श्रृंखला की निगरानी कर रहे हैं, जिसे सामूहिक रूप से लेज़ी कोआला के रूप में संदर्भित किया जाता है, जिसका नाम टेलीग्राम बॉट्स के कथित नियंत्रक के नाम पर रखा गया है जो चुराए गए डेटा को प्राप्त करते हैं।

इसके अलावा, पीड़ित की जनसांख्यिकी और मैलवेयर विशेषताओं के विश्लेषण से पता चलता है कि योरोट्रूपर (जिसे स्टर्जनफिशर के नाम से भी जाना जाता है) नामक एक अन्य हैकिंग समूह से संभावित संबंध हैं। इस समूह द्वारा उपयोग किया जाने वाला प्राथमिक उपकरण एक अल्पविकसित चोर है, जो पता लगाने से बचने, विश्लेषण में बाधा डालने, सभी चुराए गए डेटा को इकट्ठा करने और टेलीग्राम के माध्यम से इसे प्रसारित करने के लिए सुरक्षात्मक उपायों को अपनाता है। संचार के सुरक्षित साधन के रूप में दुर्भावनापूर्ण अभिनेताओं द्वारा टेलीग्राम का तेजी से समर्थन किया जा रहा है।