Operacja ataku SteganoAmor
Grupa hakerska TA558 rozpoczęła nową kampanię, wykorzystując steganografię do osadzania szkodliwego kodu w obrazach. Technika ta umożliwia im potajemną dystrybucję szeregu szkodliwych narzędzi do określonych systemów, unikając wykrycia zarówno przez użytkowników, jak i oprogramowanie zabezpieczające.
Od 2018 r. TA558 stanowi poważne zagrożenie, atakując głównie podmioty z branży hotelarskiej i turystycznej na całym świecie, ze szczególnym naciskiem na Amerykę Łacińską. Niedawno eksperci ds. cyberbezpieczeństwa zaprezentowali swoje najnowsze przedsięwzięcie o nazwie „SteganoAmor”, podkreślając jego duże uzależnienie od steganografii. Analiza ujawniła ponad 320 ataków związanych z tą kampanią, mających wpływ na różne sektory i kraje.
Spis treści
SteganoAmor zaczyna od rozpowszechniania fałszywych wiadomości e-mail
Atak rozpoczyna się od zwodniczych e-maili zawierających pozornie nieszkodliwe załączniki do dokumentów, zazwyczaj w formacie Excel lub Word, wykorzystujących lukę CVE-2017-11882. Ta luka, która dotyczy edytora równań pakietu Microsoft Office i została załatana w 2017 r., służy jako wspólny cel. Te e-maile są wysyłane z zaatakowanych serwerów SMTP, aby zwiększyć ich wiarygodność i zmniejszyć prawdopodobieństwo zablokowania.
W przypadkach, gdy używana jest nieaktualna wersja pakietu Microsoft Office, exploit powoduje pobranie skryptu Visual Basic (VBS) z legalnej usługi „wklej po otwarciu pliku.ee”. Następnie wykonywany jest ten skrypt w celu pobrania pliku obrazu (JPG) zawierającego ładunek zakodowany w formacie Base-64. W skrypcie osadzonym w obrazie kod PowerShell ułatwia odzyskanie ostatecznego ładunku, ukrytego w pliku tekstowym i zakodowanego w odwróconym formacie base64.
Liczne szkodliwe zagrożenia rozmieszczone jako ostateczny ładunek
Badacze zaobserwowali liczne iteracje łańcucha ataków, z których każda wprowadzała inny zakres rodzin szkodliwego oprogramowania. Należą do nich AgentTesla , działający jako oprogramowanie szpiegowskie zdolne do rejestrowania naciśnięć klawiszy i kradzieży danych uwierzytelniających; FormBook, specjalizujący się w zbieraniu danych uwierzytelniających i wykonywaniu zdalnych poleceń; Remcos , umożliwiający zdalne zarządzanie maszynami i nadzór; LokiBot , atakujący wrażliwe dane z różnych aplikacji; Gulo a der, służący do pobierania dodatkowych ładunków, Snake Keylogger , przechwytujący naciśnięcia klawiszy i dane uwierzytelniające oraz XWorm , zapewniający zdalny dostęp do zainfekowanych komputerów.
Ostateczne ładunki i fałszywe skrypty często znajdują schronienie w renomowanych usługach w chmurze, takich jak Dysk Google, w celu wykorzystania ich dobrej reputacji i uniknięcia wykrycia złośliwego oprogramowania. Zebrane informacje są przesyłane do zainfekowanych, legalnych serwerów FTP, maskując ruch i sprawiając, że wygląda on normalnie. Zidentyfikowano ponad 320 ataków, skupiających się głównie na krajach Ameryki Łacińskiej, chociaż zakres ataków rozciąga się na cały świat.
Phishing pozostaje niezwykle skutecznym narzędziem w arsenale cyberprzestępców
Eksperci ds. bezpieczeństwa informacji ujawnili serię ataków phishingowych przeprowadzonych przez cyberprzestępców na organizacje rządowe w Rosji, Białorusi, Kazachstanie, Uzbekistanie, Kirgistanie, Tadżykistanie i Armenii. Ataki te wykorzystują złośliwe oprogramowanie o nazwie LazyStealer, zaprojektowane specjalnie w celu wydobywania danych uwierzytelniających z przeglądarki Google Chrome. Badacze monitorują tę serię ataków, zwanych łącznie Leniwą Koalą, nazwaną na cześć rzekomego kontrolera botów Telegramu, które otrzymują skradzione dane.
Co więcej, analiza danych demograficznych ofiar i charakterystyki złośliwego oprogramowania sugeruje potencjalne powiązania z inną grupą hakerską znaną jako YoroTrooper (znaną również jako SturgeonPhisher). Podstawowym narzędziem wykorzystywanym przez tę grupę jest prosty złodziej, który wykorzystuje środki ochronne w celu uniknięcia wykrycia, utrudnienia analizy, gromadzenia wszystkich skradzionych danych i przesyłania ich za pośrednictwem telegramu. Telegram jest coraz częściej wybierany przez złośliwe podmioty jako bezpieczny środek komunikacji.
