스테가노아모르 공격작전
TA558 해킹 그룹은 스테가노그래피를 사용하여 이미지에 유해한 코드를 삽입하는 새로운 캠페인을 시작했습니다. 이 기술을 사용하면 다양한 맬웨어 도구를 특정 시스템에 은밀하게 배포하여 사용자와 보안 소프트웨어 모두의 탐지를 피할 수 있습니다.
2018년부터 TA558은 주로 라틴 아메리카를 중심으로 전 세계 호텔 및 관광 기업을 표적으로 삼아 상당한 위협을 가해 왔습니다. 최근 사이버 보안 전문가들은 스테가노그래피에 대한 의존도가 높다는 점을 강조하는 'SteganoAmor'라는 최신 노력을 공개했습니다. 분석 결과, 이 캠페인과 관련된 320건 이상의 공격이 밝혀졌으며, 이는 다양한 부문과 국가에 영향을 미쳤습니다.
목차
SteganoAmor는 사기성 이메일 유포로 시작됩니다.
공격은 CVE-2017-11882 취약점을 활용하여 일반적으로 Excel 또는 Word 형식의 무해해 보이는 문서 첨부 파일을 포함하는 사기성 이메일로 시작됩니다. Microsoft Office Equation Editor에 영향을 미치고 2017년에 패치된 이 결함은 일반적인 표적으로 작용합니다. 이러한 이메일은 합법성을 강화하고 차단 가능성을 줄이기 위해 손상된 SMTP 서버에서 발송됩니다.
오래된 버전의 Microsoft Office를 사용하는 경우, 익스플로잇은 합법적인 'file.ee 열기 시 붙여넣기' 서비스에서 VBS(Visual Basic Script) 다운로드를 트리거합니다. 이어서 이 스크립트가 실행되어 Base-64로 인코딩된 페이로드가 포함된 이미지 파일(JPG)을 검색합니다. 이미지에 포함된 스크립트 내에서 PowerShell 코드는 텍스트 파일 내에 숨겨져 있고 역방향 base64 형식으로 인코딩된 최종 페이로드 검색을 용이하게 합니다.
최종 페이로드로 배포되는 수많은 유해 위협
연구원들은 공격 체인이 여러 번 반복되는 것을 관찰했으며, 각 반복에서는 다양한 범위의 악성 코드군이 발생했습니다. 그 중에는 키로깅과 자격 증명 도용이 가능한 스파이웨어 역할을 하는 AgentTesla 가 있습니다. 자격 증명 수집 및 원격 명령 실행을 전문으로 하는 FormBook ; Remcos는 원격 기계 관리 및 감시를 가능하게 합니다. 다양한 애플리케이션의 민감한 데이터를 표적으로 삼는 LokiBot ; 보조 페이로드에 대한 다운로더 역할을 하는 Gulo a der, 키 입력 및 자격 증명을 캡처하는 Snake Keylogger , 손상된 컴퓨터에 대한 원격 액세스 권한을 부여하는 XWorm 등이 있습니다.
최종 페이로드와 사기성 스크립트는 Google Drive와 같은 평판이 좋은 클라우드 서비스에서 피난처를 찾아 좋은 평판을 악용하고 맬웨어 방지 탐지를 회피하는 경우가 많습니다. 수집된 정보는 손상된 합법적인 FTP 서버로 전송되어 트래픽이 정상적으로 보이도록 마스킹됩니다. 320건이 넘는 공격이 확인되었으며 주로 라틴 아메리카 국가에 초점을 맞추고 있지만 대상 범위는 전 세계적으로 확장되어 있습니다.
피싱은 사이버 범죄자의 무기고에서 여전히 매우 강력한 도구로 남아 있습니다.
러시아, 벨로루시, 카자흐스탄, 우즈베키스탄, 키르기스스탄, 타지키스탄, 아르메니아 전역의 정부 기관을 표적으로 삼은 사이버 범죄자들이 시작한 일련의 피싱 공격이 정보보안 전문가들에 의해 밝혀졌습니다. 이러한 공격은 Google Chrome에서 자격 증명을 추출하도록 특별히 설계된 LazyStealer라는 악성 코드를 배포합니다. 연구원들은 도난당한 데이터를 수신하는 텔레그램 봇의 컨트롤러로 알려진 사람의 이름을 딴 Lazy Koala라고 통칭되는 이 일련의 공격을 모니터링하고 있습니다.
또한, 피해자 인구통계 및 악성 코드 특성을 분석한 결과 YoroTrooper(SturgeonPhisher라고도 함)라는 또 다른 해킹 그룹과의 잠재적인 연결이 암시되었습니다. 이 그룹이 사용하는 주요 도구는 탐지를 회피하고, 분석을 방해하고, 도난당한 모든 데이터를 수집하고 이를 Telegram을 통해 전송하는 보호 조치를 사용하는 초보적인 도용자입니다. 텔레그램은 안전한 통신 수단으로 악의적인 공격자들의 선호를 점점 더 많이 받고 있습니다.
