Operasi Serangan SteganoAmor
Kumpulan penggodaman TA558 telah memulakan kempen baharu, menggunakan steganografi untuk membenamkan kod berbahaya dalam imej. Teknik ini membolehkan mereka mengedarkan rangkaian alat perisian hasad secara rahsia ke sistem tertentu, mengelakkan pengesanan oleh pengguna dan perisian keselamatan.
Sejak 2018, TA558 telah menimbulkan ancaman yang ketara, terutamanya menyasarkan entiti hospitaliti dan pelancongan di seluruh dunia, dengan tumpuan yang ketara pada Amerika Latin. Baru-baru ini, pakar keselamatan siber melancarkan usaha terbaharu mereka, yang dinamakan 'SteganoAmor,' menyerlahkan pergantungan beratnya pada steganografi. Analisis mendedahkan lebih daripada 320 serangan yang dikaitkan dengan kempen ini, memberi kesan kepada pelbagai sektor dan negara.
Isi kandungan
SteganoAmor Bermula dengan Penyebaran E-mel Penipuan
Serangan bermula dengan e-mel menipu yang membawa lampiran dokumen yang kelihatan tidak berbahaya, biasanya dalam format Excel atau Word, memanfaatkan kerentanan CVE-2017-11882. Cacat ini, yang menjejaskan Editor Persamaan Microsoft Office dan telah ditambal pada 2017, berfungsi sebagai sasaran biasa. E-mel ini dihantar daripada pelayan SMTP yang terjejas untuk meningkatkan kesahihannya dan mengurangkan kemungkinan disekat.
Dalam keadaan di mana versi Microsoft Office yang lapuk sedang digunakan, eksploitasi mencetuskan muat turun Skrip Visual Basic (VBS) daripada perkhidmatan 'tampal semasa membuka fail.ee' yang sah. Selepas itu, skrip ini dilaksanakan untuk mendapatkan semula fail imej (JPG) yang mengandungi muatan berkod asas-64. Dalam skrip yang dibenamkan dalam imej, kod PowerShell memudahkan pengambilan semula muatan akhir, disembunyikan dalam fail teks dan dikodkan dalam format base64 terbalik.
Banyak Ancaman Memudaratkan Digunakan sebagai Muatan Akhir
Penyelidik telah memerhatikan banyak lelaran rantaian serangan, masing-masing memperkenalkan pelbagai jenis keluarga perisian hasad. Antaranya ialah AgentTesla , berfungsi sebagai perisian pengintip yang mampu mengelog kunci dan kecurian kelayakan; Buku Borang, khusus dalam menuai bukti kelayakan dan melaksanakan arahan jauh; Remcos , membolehkan pengurusan dan pengawasan mesin jauh; LokiBot , menyasarkan data sensitif daripada pelbagai aplikasi; Gulo a der, berfungsi sebagai pemuat turun untuk muatan sekunder, Snake Keylogger , menangkap ketukan kekunci dan bukti kelayakan dan XWorm , memberikan akses jauh kepada komputer yang terjejas.
Muatan akhir dan skrip penipuan sering mendapat perlindungan dalam perkhidmatan awan yang bereputasi seperti Google Drive untuk mengeksploitasi reputasi baik mereka dan mengelakkan pengesanan anti-malware. Maklumat yang dituai dihantar ke pelayan FTP sah yang terjejas, menutup trafik untuk kelihatan normal. Lebih 320 serangan telah dikenal pasti, dengan tumpuan utama pada negara-negara Amerika Latin, walaupun skop penyasaran meluas secara global.
Phishing Kekal Alat Amat Ampuh dalam Penjenayah Siber
Rentetan serangan pancingan data yang dilancarkan oleh penjenayah siber yang menyasarkan organisasi kerajaan di seluruh Rusia, Belarus, Kazakhstan, Uzbekistan, Kyrgyzstan, Tajikistan dan Armenia telah didedahkan oleh pakar infosec. Serangan ini menggunakan perisian hasad yang dipanggil LazyStealer, yang direka khusus untuk mengekstrak bukti kelayakan daripada Google Chrome. Penyelidik sedang memantau siri serangan ini, secara kolektif dirujuk sebagai Lazy Koala, dinamakan sempena pengawal kononnya bot Telegram yang menerima data yang dicuri.
Tambahan pula, analisis demografi mangsa dan ciri perisian hasad mencadangkan kemungkinan sambungan kepada kumpulan penggodaman lain yang dikenali sebagai YoroTrooper (juga dikenali sebagai SturgeonPhisher). Alat utama yang digunakan oleh kumpulan ini ialah pencuri asas, yang menggunakan langkah perlindungan untuk mengelak pengesanan, menghalang analisis, mengumpul semua data yang dicuri dan menghantarnya melalui Telegram. Telegram semakin digemari oleh pelakon yang berniat jahat sebagai alat komunikasi yang selamat.
