SteganoAmor uzbrukuma operācija
TA558 hakeru grupa ir uzsākusi jaunu kampaņu, izmantojot steganogrāfiju, lai attēlos iegultu kaitīgu kodu. Šis paņēmiens ļauj viņiem slepeni izplatīt virkni ļaunprātīgas programmatūras rīku noteiktās sistēmās, izvairoties no atklāšanas gan lietotājiem, gan drošības programmatūrai.
Kopš 2018. gada TA558 ir radījis ievērojamus draudus, galvenokārt mērķējot uz viesmīlības un tūrisma uzņēmumiem visā pasaulē, īpaši koncentrējoties uz Latīņameriku. Nesen kiberdrošības eksperti atklāja savu jaunāko darbu, ko sauc par "SteganoAmor", uzsverot tā lielo paļaušanos uz steganogrāfiju. Analīze atklāja vairāk nekā 320 ar šo kampaņu saistītus uzbrukumus, kas ietekmēja dažādas nozares un valstis.
Satura rādītājs
SteganoAmor sākas ar krāpniecisku e-pasta ziņojumu izplatīšanu
Uzbrukums sākas ar maldinošiem e-pastiem, kuros ir šķietami nekaitīgi dokumentu pielikumi, parasti Excel vai Word formātā, izmantojot CVE-2017-11882 ievainojamību. Šis trūkums, kas skāra Microsoft Office vienādojumu redaktoru un tika labots 2017. gadā, kalpo kā kopīgs mērķis. Šie e-pasta ziņojumi tiek nosūtīti no apdraudētiem SMTP serveriem, lai uzlabotu to leģitimitāti un samazinātu bloķēšanas iespējamību.
Gadījumos, kad tiek izmantota novecojusi Microsoft Office versija, ekspluatācija aktivizē Visual Basic skripta (VBS) lejupielādi no likumīgā pakalpojuma “ielīmēt, atverot failu.ee”. Pēc tam šis skripts tiek izpildīts, lai izgūtu attēla failu (JPG), kas satur bāzes 64 kodētu lietderīgo slodzi. Attēlā iegultajā skriptā PowerShell kods atvieglo galīgās derīgās slodzes izgūšanu, kas ir paslēpta teksta failā un kodēta apgrieztā base64 formātā.
Neskaitāmi kaitīgi draudi, kas izvērsti kā pēdējās kravas
Pētnieki ir novērojuši daudzas uzbrukuma ķēdes iterācijas, katra ieviešot dažādas ļaunprātīgas programmatūras saimes. To vidū ir AgentTesla , kas darbojas kā spiegprogrammatūra, kas spēj reģistrēt taustiņu reģistrēšanu un akreditācijas datu zādzību; FormBook, kas specializējas akreditācijas datu savākšanā un tālvadības komandu izpildē; Remcos , kas nodrošina attālinātu iekārtu pārvaldību un uzraudzību; LokiBot , mērķējot uz sensitīviem datiem no dažādām lietojumprogrammām; Gulo a der, kas kalpo kā lejupielādētājs sekundārajām lietderīgajām slodzēm, Snake Keylogger , kas tver taustiņsitienus un akreditācijas datus, un XWorm , kas nodrošina attālo piekļuvi apdraudētiem datoriem.
Pēdējās slodzes un krāpnieciskie skripti bieži atrod patvērumu cienījamos mākoņpakalpojumos, piemēram, Google diskā, lai izmantotu to labvēlīgo reputāciju un izvairītos no ļaunprātīgas programmatūras noteikšanas. Iegūtā informācija tiek pārsūtīta uz apdraudētiem likumīgiem FTP serveriem, maskējot trafiku, lai tā izskatītos normāla. Ir identificēti vairāk nekā 320 uzbrukumi, galvenokārt koncentrējoties uz Latīņamerikas valstīm, lai gan mērķēšanas joma ir globāla.
Pikšķerēšana joprojām ir ārkārtīgi spēcīgs rīks kibernoziedznieku arsenālā
Infosec eksperti ir atklājuši virkni pikšķerēšanas uzbrukumu, ko uzsākuši kibernoziedznieki, kas vērsti pret valdības organizācijām Krievijā, Baltkrievijā, Kazahstānā, Uzbekistānā, Kirgizstānā, Tadžikistānā un Armēnijā. Šie uzbrukumi izvieto ļaunprātīgu programmatūru ar nosaukumu LazyStealer, kas īpaši izstrādāta, lai iegūtu akreditācijas datus no Google Chrome. Pētnieki uzrauga šo uzbrukumu sēriju, kas kopā saukta par Lazy Koala, kas nosaukta pēc Telegram robotu, kas saņem nozagtos datus, kontroliera.
Turklāt upuru demogrāfisko datu un ļaunprātīgas programmatūras īpašību analīze liecina par iespējamu saikni ar citu hakeru grupu, kas pazīstama kā YoroTrooper (pazīstama arī kā SturgeonPhisher). Galvenais šīs grupas izmantotais rīks ir elementārs zaglis, kas izmanto aizsardzības pasākumus, lai izvairītos no atklāšanas, kavētu analīzi, apkopotu visus nozagtos datus un pārsūtītu tos, izmantojot telegrammu. Ļaunprātīgi dalībnieki arvien vairāk iecienījuši telegrammu kā drošu saziņas līdzekli.
