SteganoAmor-aanvalsoperatie
De hackgroep TA558 is een nieuwe campagne gestart, waarbij gebruik wordt gemaakt van steganografie om schadelijke code in afbeeldingen in te sluiten. Met deze techniek kunnen ze clandestien een reeks malwaretools op specifieke systemen verspreiden, waardoor detectie door zowel gebruikers als beveiligingssoftware wordt omzeild.
Sinds 2018 vormt TA558 een aanzienlijke bedreiging, die zich vooral richt op horeca- en toerisme-entiteiten over de hele wereld, met een opmerkelijke focus op Latijns-Amerika. Onlangs onthulden cybersecurity-experts hun nieuwste onderneming, genaamd 'SteganoAmor', waarmee ze de sterke afhankelijkheid van steganografie benadrukten. Analyse bracht meer dan 320 aanvallen aan het licht die verband hielden met deze campagne, met gevolgen voor diverse sectoren en landen.
Inhoudsopgave
SteganoAmor begint met de verspreiding van frauduleuze e-mails
De aanval begint met misleidende e-mails met ogenschijnlijk onschuldige documentbijlagen, meestal in Excel- of Word-formaat, waarbij gebruik wordt gemaakt van de CVE-2017-11882-kwetsbaarheid. Deze fout, die de Microsoft Office Equation Editor trof en in 2017 werd verholpen, dient als een gemeenschappelijk doelwit. Deze e-mails worden verzonden vanaf gecompromitteerde SMTP-servers om hun legitimiteit te vergroten en de kans op blokkering te verkleinen.
In gevallen waarin een verouderde versie van Microsoft Office in gebruik is, activeert de exploit het downloaden van een Visual Basic Script (VBS) van de legitieme 'plakken bij het openen van de file.ee'-service. Vervolgens wordt dit script uitgevoerd om een afbeeldingsbestand (JPG) op te halen dat een base-64-gecodeerde payload bevat. Binnen het script dat in de afbeelding is ingebed, vergemakkelijkt PowerShell-code het ophalen van de uiteindelijke payload, verborgen in een tekstbestand en gecodeerd in omgekeerd base64-formaat.
Talrijke schadelijke bedreigingen ingezet als laatste lading
Onderzoekers hebben talloze herhalingen van de aanvalsketen waargenomen, die elk een breed scala aan malwarefamilies introduceerden. Hiertoe behoren AgentTesla , dat functioneert als spyware die in staat is tot keylogging en diefstal van inloggegevens; FormBook, gespecialiseerd in het verzamelen van inloggegevens en het uitvoeren van opdrachten op afstand; Remcos , dat machinebeheer en bewaking op afstand mogelijk maakt; LokiBot , gericht op gevoelige gegevens uit verschillende applicaties; Gulo a der, dat dient als downloader voor secundaire payloads, Snake Keylogger , die toetsaanslagen en inloggegevens vastlegt, en XWorm , dat externe toegang verleent tot aangetaste computers.
De uiteindelijke payloads en frauduleuze scripts vinden vaak hun toevlucht in gerenommeerde cloudservices zoals Google Drive om hun gunstige reputatie te misbruiken en anti-malwaredetectie te omzeilen. De verzamelde informatie wordt verzonden naar gecompromitteerde legitieme FTP-servers, waardoor het verkeer wordt gemaskeerd zodat het er normaal uitziet. Er zijn meer dan 320 aanvallen geïdentificeerd, met een primaire focus op Latijns-Amerikaanse landen, hoewel de reikwijdte zich wereldwijd uitstrekt.
Phishing blijft een uiterst krachtig instrument in het arsenaal van cybercriminelen
Een reeks phishing-aanvallen gelanceerd door cybercriminelen gericht op overheidsorganisaties in Rusland, Wit-Rusland, Kazachstan, Oezbekistan, Kirgizië, Tadzjikistan en Armenië zijn door infosec-experts aan het licht gebracht. Bij deze aanvallen wordt malware ingezet genaamd LazyStealer, die speciaal is ontworpen om inloggegevens uit Google Chrome te extraheren. Onderzoekers houden deze reeks aanvallen in de gaten, gezamenlijk Lazy Koala genoemd, genoemd naar de vermeende controller van de Telegram-bots die de gestolen gegevens ontvangen.
Bovendien suggereert analyse van de demografische gegevens van de slachtoffers en de kenmerken van malware mogelijke verbindingen met een andere hackgroep bekend als YoroTrooper (ook bekend als SturgeonPhisher). Het belangrijkste instrument dat door deze groep wordt gebruikt, is een rudimentaire dief, die beschermende maatregelen gebruikt om detectie te omzeilen, analyse te belemmeren, alle gestolen gegevens te verzamelen en deze via Telegram te verzenden. Telegram krijgt steeds meer de voorkeur van kwaadwillende actoren als veilig communicatiemiddel.
