SteganoAmor angrepsoperasjon

TA558-hackergruppen har satt i gang en ny kampanje, som bruker steganografi for å bygge inn skadelig kode i bilder. Denne teknikken lar dem distribuere en rekke skadevareverktøy i hemmelighet på spesifikke systemer, og unngå oppdagelse av både brukere og sikkerhetsprogramvare.

Siden 2018 har TA558 utgjort en betydelig trussel, hovedsakelig rettet mot gjestfrihets- og turismeenheter over hele verden, med et bemerkelsesverdig fokus på Latin-Amerika. Nylig avslørte cybersikkerhetseksperter deres siste forsøk, kalt 'SteganoAmor', og fremhever dens store avhengighet av steganografi. Analyse avslørte mer enn 320 angrep knyttet til denne kampanjen, som påvirket ulike sektorer og land.

SteganoAmor begynner med spredning av uredelige e-poster

Angrepet begynner med villedende e-poster med tilsynelatende harmløse dokumentvedlegg, vanligvis i Excel- eller Word-format, som utnytter CVE-2017-11882-sårbarheten. Denne feilen, som påvirket Microsoft Office Equation Editor og ble rettet i 2017, fungerer som et vanlig mål. Disse e-postene sendes fra kompromitterte SMTP-servere for å forbedre deres legitimitet og redusere sannsynligheten for å bli blokkert.

I tilfeller der en utdatert versjon av Microsoft Office er i bruk, utløser utnyttelsen nedlasting av et Visual Basic Script (VBS) fra den legitime "lim inn ved åpning av file.ee"-tjenesten. Deretter kjøres dette skriptet for å hente en bildefil (JPG) som inneholder en base-64-kodet nyttelast. Innenfor skriptet som er innebygd i bildet, letter PowerShell-koden henting av den endelige nyttelasten, skjult i en tekstfil og kodet i omvendt base64-format.

Tallrike skadelige trusler utplassert som siste nyttelast

Forskere har observert en rekke iterasjoner av angrepskjeden, som hver introduserer et mangfoldig utvalg av malware-familier. Blant disse er AgentTesla , som fungerer som spionprogramvare som er i stand til tastelogging og legitimasjonstyveri; FormBook, spesialisert på innhenting av legitimasjon og utføring av eksterne kommandoer; Remcos , som muliggjør ekstern maskinadministrasjon og overvåking; LokiBot , rettet mot sensitive data fra ulike applikasjoner; Gulo a der, fungerer som nedlaster for sekundære nyttelaster, Snake Keylogger , fanger opp tastetrykk og legitimasjon og XWorm , og gir ekstern tilgang til kompromitterte datamaskiner.

De endelige nyttelastene og uredelige skriptene finner ofte tilflukt i anerkjente skytjenester som Google Drive for å utnytte deres gunstige rykte og unngå oppdagelse av skadelig programvare. Innhentet informasjon overføres til kompromitterte legitime FTP-servere, og maskerer trafikken slik at den ser normal ut. Over 320 angrep er identifisert, med hovedfokus på latinamerikanske land, selv om målrettingsområdet strekker seg globalt.

Phishing er fortsatt et ekstremt potent verktøy i arsenalet av nettkriminelle

En rekke phishing-angrep lansert av nettkriminelle rettet mot offentlige organisasjoner over hele Russland, Hviterussland, Kasakhstan, Usbekistan, Kirgisistan, Tadsjikistan og Armenia har blitt brakt frem av infosec-eksperter. Disse angrepene distribuerer en skadelig programvare kalt LazyStealer, spesielt utviklet for å trekke ut legitimasjon fra Google Chrome. Forskere overvåker denne serien med angrep, samlet referert til som Lazy Koala, oppkalt etter den påståtte kontrolløren av Telegram-robotene som mottar de stjålne dataene.

Videre antyder analyse av offerets demografi og skadelig programvare potensielle forbindelser til en annen hackergruppe kjent som YoroTrooper (også kjent som SturgeonPhisher). Det primære verktøyet som brukes av denne gruppen er en rudimentær stjeler, som bruker beskyttelsestiltak for å unngå oppdagelse, hindre analyse, samle inn alle stjålne data og overføre dem via Telegram. Telegram har blitt stadig mer foretrukket av ondsinnede aktører som et sikkert kommunikasjonsmiddel.