Operacija napada SteganoAmor

Hakerska skupina TA558 pokrenula je novu kampanju koristeći steganografiju za ugradnju štetnog koda u slike. Ova im tehnika omogućuje tajnu distribuciju niza zlonamjernih alata na određene sustave, izbjegavajući otkrivanje od strane korisnika i sigurnosnog softvera.

Od 2018. TA558 predstavlja značajnu prijetnju, uglavnom ciljajući na ugostiteljske i turističke subjekte diljem svijeta, s značajnim fokusom na Latinsku Ameriku. Nedavno su stručnjaci za kibernetičku sigurnost predstavili svoj najnoviji pothvat, nazvan 'SteganoAmor', ističući njegovo snažno oslanjanje na steganografiju. Analiza je otkrila više od 320 napada povezanih s ovom kampanjom, koji su utjecali na različite sektore i zemlje.

SteganoAmor počinje sa širenjem lažnih e-poruka

Napad započinje lažnom e-poštom koja nosi naizgled bezopasne privitke dokumenata, obično u Excel ili Word formatu, iskorištavajući ranjivost CVE-2017-11882. Ovaj nedostatak, koji je utjecao na Microsoft Office Equation Editor i zakrpan je 2017., služi kao česta meta. Te se poruke e-pošte šalju s kompromitiranih SMTP poslužitelja kako bi se poboljšala njihova legitimnost i smanjila vjerojatnost blokiranja.

U slučajevima kada se koristi zastarjela verzija Microsoft Officea, exploit pokreće preuzimanje Visual Basic Script (VBS) iz legitimne usluge 'zalijepi nakon otvaranja file.ee'. Naknadno se ova skripta izvršava za dohvaćanje slikovne datoteke (JPG) koja sadrži base-64 kodiran sadržaj. Unutar skripte ugrađene u sliku, PowerShell kod olakšava dohvaćanje konačnog korisnog sadržaja, skrivenog unutar tekstualne datoteke i kodiranog u obrnutom base64 formatu.

Brojne štetne prijetnje raspoređene kao konačna nosivost

Istraživači su uočili brojne iteracije lanca napada, od kojih svaka uvodi raznolik raspon obitelji zlonamjernog softvera. Među njima su AgentTesla , koji funkcionira kao špijunski softver sposoban za unos tipki i krađu vjerodajnica; FormBook, specijaliziran za prikupljanje vjerodajnica i izvršavanje daljinskih naredbi; Remcos , koji omogućuje daljinsko upravljanje i nadzor stroja; LokiBot , ciljanje osjetljivih podataka iz raznih aplikacija; Gulo a der, koji služi kao program za preuzimanje sekundarnih korisnih podataka, Snake Keylogger , koji bilježi pritiske tipki i vjerodajnice, i XWorm , koji omogućuje udaljeni pristup ugroženim računalima.

Konačni učinci i lažne skripte često pronalaze utočište u renomiranim uslugama u oblaku kao što je Google Drive kako bi iskoristili njihovu dobru reputaciju i izbjegli otkrivanje zlonamjernog softvera. Prikupljene informacije prenose se na kompromitirane legitimne FTP poslužitelje, maskirajući promet da izgleda normalno. Identificirano je više od 320 napada, s primarnim fokusom na zemlje Latinske Amerike, iako se opseg ciljanja proteže globalno.

Phishing je i dalje iznimno moćan alat u arsenalu kibernetičkih kriminalaca

Stručnjaci za infosec otkrili su niz phishing napada koje su pokrenuli kibernetički kriminalci ciljajući vladine organizacije diljem Rusije, Bjelorusije, Kazahstana, Uzbekistana, Kirgistana, Tadžikistana i Armenije. Ovi napadi koriste zlonamjerni softver pod nazivom LazyStealer, posebno dizajniran za izvlačenje vjerodajnica iz preglednika Google Chrome. Istraživači prate ovu seriju napada, zajednički nazvanih Lazy Koala, nazvanih po navodnom kontroloru Telegram botova koji primaju ukradene podatke.

Nadalje, analiza demografskih podataka i karakteristika zlonamjernog softvera žrtve ukazuje na potencijalne veze s drugom hakerskom skupinom poznatom kao YoroTrooper (također poznata kao SturgeonPhisher). Primarni alat koji koristi ova skupina je rudimentarni kradljivac, koji koristi zaštitne mjere kako bi izbjegao otkrivanje, spriječio analizu, prikupio sve ukradene podatke i prenio ih putem Telegrama. Zlonamjerni akteri sve više preferiraju Telegram kao sigurno sredstvo komunikacije.