SteganoAmor támadási művelet

A TA558 hackercsoport új kampányt indított, szteganográfiát alkalmazva káros kódok képekbe ágyazására. Ez a technika lehetővé teszi számukra, hogy egy sor kártevő eszközt titkosan terjeszthessenek meghatározott rendszerekre, elkerülve a felhasználók és a biztonsági szoftverek észlelését.

2018 óta a TA558 jelentős fenyegetést jelent, főként a vendéglátó és turisztikai szervezeteket célozza meg szerte a világon, különös tekintettel Latin-Amerikára. Nemrég a kiberbiztonsági szakértők bemutatták legújabb törekvésüket, a „SteganoAmor”-t, kiemelve a szteganográfiára való erős támaszkodást. Az elemzés több mint 320 támadást tárt fel a kampányhoz kapcsolódóan, amelyek különböző ágazatokat és országokat érintettek.

A SteganoAmor a csaló e-mailek terjesztésével kezdődik

A támadás megtévesztő e-mailekkel kezdődik, amelyek látszólag ártalmatlan dokumentummellékleteket tartalmaznak, jellemzően Excel vagy Word formátumban, kihasználva a CVE-2017-11882 biztonsági rést. Ez a hiba, amely a Microsoft Office Egyenletszerkesztőt érintette, és amelyet 2017-ben javítottak ki, általános célként szolgál. Ezeket az e-maileket a feltört SMTP-kiszolgálókról küldik, hogy növeljék legitimitásukat és csökkentsék a blokkolások valószínűségét.

Azokban az esetekben, amikor a Microsoft Office elavult verziója van használatban, a kihasználás kiváltja a Visual Basic Script (VBS) letöltését a legitim „beillesztés a file.ee megnyitásakor” szolgáltatásból. Ezt követően ez a szkript végrehajtódik egy base-64 kódolású hasznos adatot tartalmazó képfájl (JPG) lekéréséhez. A képbe ágyazott szkripten belül a PowerShell-kód megkönnyíti a végső hasznos adat lekérését, amely egy szövegfájlban van elrejtve, és fordított base64 formátumban van kódolva.

Végső rakományként számos káros fenyegetés

A kutatók a támadási lánc számos iterációját figyelték meg, amelyek mindegyike különféle rosszindulatú programcsaládokat mutatott be. Ezek közé tartozik az AgentTesla , amely kémprogramként működik, amely képes billentyűnaplózásra és hitelesítő adatok ellopására; FormBook, amely a hitelesítő adatok begyűjtésére és a távoli parancsok végrehajtására specializálódott; Remcos , amely lehetővé teszi a távoli gépkezelést és -felügyeletet; LokiBot , amely különféle alkalmazásokból származó érzékeny adatokat céloz meg; Gulo a der, amely letöltőként szolgál a másodlagos hasznos adatokhoz, a Snake Keylogger , amely rögzíti a billentyűleütéseket és a hitelesítő adatokat, valamint az XWorm , amely távoli hozzáférést biztosít a kompromittált számítógépekhez.

A végső rakományok és a csaló szkriptek gyakran olyan jó hírű felhőszolgáltatásokban találnak menedéket, mint a Google Drive, hogy kihasználják jó hírnevüket, és elkerüljék a rosszindulatú programok észlelését. Az összegyűjtött információkat a rendszer a feltört legitim FTP-szerverekre továbbítja, így a forgalom normálisnak tűnik. Több mint 320 támadást azonosítottak, elsősorban a latin-amerikai országokra összpontosítva, bár a célzási hatókör világszerte kiterjed.

Az adathalászat továbbra is rendkívül hatékony eszköz a kiberbűnözők arzenáljában

Kiberbűnözők által indított adathalász támadások sorozatát hoztak nyilvánosságra az infosec szakértői, amelyek kormányzati szervezetek ellen irányultak Oroszországban, Fehéroroszországban, Kazahsztánban, Üzbegisztánban, Kirgizisztánban, Tádzsikisztánban és Örményországban. Ezek a támadások egy LazyStealer nevű rosszindulatú programot telepítenek, amelyet kifejezetten a hitelesítő adatok kinyerésére terveztek a Google Chrome-ból. A kutatók figyelemmel kísérik ezt a támadássorozatot, közös nevén Lusta Koalát, amelyet a lopott adatokat fogadó Telegram-botok állítólagos vezérlőjéről neveztek el.

Ezenkívül az áldozatok demográfiai adatainak és a rosszindulatú programok jellemzőinek elemzése potenciális kapcsolatokra utal egy másik, YoroTrooper néven ismert hackercsoporttal (más néven SturgeonPhisher). A csoport által használt elsődleges eszköz egy kezdetleges lopás, amely védelmi intézkedéseket alkalmaz az észlelés elkerülése, az elemzés akadályozása, az összes ellopott adat összegyűjtése és a táviraton keresztül történő továbbítása érdekében. A rosszindulatú szereplők egyre inkább kedvelik a táviratot, mint biztonságos kommunikációs eszközt.