„SteganoAmor“ puolimo operacija
TA558 įsilaužimo grupė pradėjo naują kampaniją, naudodama steganografiją žalingam kodui įterpti į vaizdus. Ši technika leidžia jiems slaptai platinti įvairius kenkėjiškų programų įrankius konkrečiose sistemose, išvengiant tiek vartotojų, tiek saugos programinės įrangos aptikimo.
Nuo 2018 m. TA558 kėlė didelę grėsmę, daugiausia skirta svetingumo ir turizmo subjektams visame pasaulyje, ypač daug dėmesio skiriant Lotynų Amerikai. Neseniai kibernetinio saugumo ekspertai pristatė savo naujausią pastangą, pavadintą „SteganoAmor“, pabrėždami jos didelę priklausomybę nuo steganografijos. Analizė atskleidė daugiau nei 320 su šia kampanija susijusių išpuolių, kurie paveikė įvairius sektorius ir šalis.
Turinys
„SteganoAmor“ pradeda nuo apgaulingų el. laiškų platinimo
Ataka prasideda nuo apgaulingų el. laiškų su iš pažiūros nekenksmingais dokumentų priedais, paprastai Excel arba Word formatu, panaudojant CVE-2017-11882 pažeidžiamumą. Šis trūkumas, kuris paveikė „Microsoft Office“ lygčių rengyklę ir buvo pataisytas 2017 m., yra dažnas tikslas. Šie el. laiškai siunčiami iš pažeistų SMTP serverių, siekiant padidinti jų teisėtumą ir sumažinti tikimybę, kad bus užblokuoti.
Tais atvejais, kai naudojama pasenusi „Microsoft Office“ versija, išnaudojimas suaktyvina „Visual Basic Script“ (VBS) atsisiuntimą iš teisėtos „įklijuoti atidarant failą.ee“ paslaugą. Vėliau šis scenarijus vykdomas norint gauti vaizdo failą (JPG), kuriame yra bazinis-64 užkoduotas naudingasis krovinys. Vaizde įterptame scenarijuje „PowerShell“ kodas palengvina galutinio naudingojo krovinio, paslėpto tekstiniame faile ir užkoduotą atvirkštiniu base64 formatu, gavimą.
Daugybė žalingų grėsmių, panaudotų kaip paskutinės naudingos apkrovos
Tyrėjai stebėjo daugybę atakų grandinės pakartojimų, kurių kiekvienas pristatė įvairias kenkėjiškų programų šeimas. Tarp jų yra AgentTesla , veikianti kaip šnipinėjimo programa, galinti užregistruoti klavišus ir pavogti kredencialus; FormBook, specializuojasi kredencialų rinkime ir nuotolinių komandų vykdyme; Remcos , leidžiantis nuotoliniu būdu valdyti ir stebėti mašinas; LokiBot , nukreipiantis į jautrius duomenis iš įvairių programų; „Gulo a der“, veikianti kaip antrinių naudingųjų apkrovų atsisiuntimo priemonė, „Snake Keylogger“ , fiksuojanti klavišų paspaudimus ir kredencialus, ir „XWorm“ , suteikianti nuotolinę prieigą prie pažeistų kompiuterių.
Galutinės naudingos apkrovos ir apgaulingi scenarijai dažnai randa prieglobstį patikimose debesijos paslaugose, pvz., „Google“ diske, kad išnaudotų palankią reputaciją ir išvengtų kenkėjiškų programų aptikimo. Surinkta informacija perduodama į pažeistus teisėtus FTP serverius, užmaskuojant srautą, kad jis atrodytų normalus. Nustatyta daugiau nei 320 išpuolių, daugiausia dėmesio skiriant Lotynų Amerikos šalims, nors taikymas apima visą pasaulį.
Sukčiavimas tebėra itin galingas įrankis kibernetinių nusikaltėlių arsenale
Informacinio saugumo ekspertai atskleidė virtinę kibernetinių nusikaltėlių surengtų sukčiavimo atakų, nukreiptų prieš vyriausybines organizacijas Rusijoje, Baltarusijoje, Kazachstane, Uzbekistane, Kirgizijoje, Tadžikistane ir Armėnijoje. Šios atakos diegia kenkėjišką programą, vadinamą „LazyStealer“, specialiai sukurtą kredencialams iš „Google Chrome“. Tyrėjai stebi šią atakų seriją, bendrai vadinamą „Lazy Koala“, pavadintą tariamo „Telegram“ robotų, gaunančių apgautus duomenis, valdytojo vardu.
Be to, aukų demografinių ir kenkėjiškų programų savybių analizė rodo galimus ryšius su kita įsilaužimo grupe, žinoma kaip YoroTrooper (taip pat žinoma kaip SturgeonPhisher). Pagrindinis įrankis, kurį naudoja ši grupė, yra elementarus vagis, kuris taiko apsaugos priemones, kad išvengtų aptikimo, trukdytų analizei, surinktų visus sugadintus duomenis ir perduotų juos per telegramą. Piktybiški veikėjai vis labiau mėgsta telegramą kaip saugią ryšio priemonę.
