Атака СтеганоАмора
Хакерская группа TA558 инициировала новую кампанию, используя стеганографию для внедрения вредоносного кода в изображения. Этот метод позволяет им тайно распространять ряд вредоносных программ на определенные системы, уклоняясь от обнаружения как пользователями, так и защитным программным обеспечением.
С 2018 года TA558 представляет собой серьезную угрозу, в основном нацеленную на предприятия гостиничного и туристического бизнеса по всему миру, с особым акцентом на Латинскую Америку. Недавно эксперты по кибербезопасности представили свою последнюю разработку под названием «SteganoAmor», подчеркнув ее сильную зависимость от стеганографии. Анализ выявил более 320 атак, связанных с этой кампанией и затронувших различные сектора и страны.
Оглавление
SteganoAmor начинается с распространения мошеннических электронных писем
Атака начинается с обманных электронных писем с, казалось бы, безобидными вложениями документов, обычно в формате Excel или Word, использующих уязвимость CVE-2017-11882. Эта уязвимость, затронувшая редактор формул Microsoft Office и исправленная в 2017 году, служит общей целью. Эти электронные письма отправляются со скомпрометированных SMTP-серверов, чтобы повысить их легитимность и снизить вероятность блокировки.
В случаях, когда используется устаревшая версия Microsoft Office, эксплойт запускает загрузку сценария Visual Basic (VBS) из легального сервиса «вставить при открытии файла file.ee». Впоследствии этот сценарий выполняется для получения файла изображения (JPG), содержащего полезную нагрузку в кодировке Base64. В сценарии, встроенном в изображение, код PowerShell облегчает извлечение окончательной полезной нагрузки, скрытой в текстовом файле и закодированной в обратном формате base64.
Многочисленные вредоносные угрозы развернуты в качестве финальной полезной нагрузки
Исследователи наблюдали многочисленные итерации цепочки атак, каждая из которых включала в себя различные семейства вредоносных программ. Среди них — AgentTesla , действующая как шпионское ПО, способное осуществлять кейлогинг и кражу учетных данных; FormBook, специализирующийся на сборе учетных данных и выполнении удаленных команд; Remcos , обеспечивающий удаленное управление и наблюдение за машинами; LokiBot , предназначенный для конфиденциальных данных из различных приложений; Gulo a der, служащий загрузчиком вторичных полезных данных, Snake Keylogger , фиксирующий нажатия клавиш и учетные данные, и XWorm , предоставляющий удаленный доступ к взломанным компьютерам.
Конечные полезные данные и мошеннические сценарии часто находят убежище в авторитетных облачных сервисах, таких как Google Drive, чтобы использовать их благоприятную репутацию и избежать обнаружения антивирусными программами. Собранная информация передается на скомпрометированные законные FTP-серверы, маскируя трафик под нормальный вид. Было выявлено более 320 атак, в первую очередь на страны Латинской Америки, хотя масштабы атак распространяются по всему миру.
Фишинг остается чрезвычайно мощным инструментом в арсенале киберпреступников
Эксперты по информационной безопасности выявили серию фишинговых атак, предпринятых киберпреступниками против правительственных организаций в России, Беларуси, Казахстане, Узбекистане, Кыргызстане, Таджикистане и Армении. В ходе этих атак используется вредоносное ПО под названием LazyStealer, специально разработанное для извлечения учетных данных из Google Chrome. Исследователи отслеживают эту серию атак, под общим названием Lazy Koala, названную в честь предполагаемого контролера ботов Telegram, которые получают украденные данные.
Кроме того, анализ демографических данных жертвы и характеристик вредоносного ПО предполагает потенциальные связи с другой хакерской группой, известной как YoroTrooper (также известной как SturgeonPhisher). Основным инструментом, используемым этой группой, является элементарный похититель, который использует защитные меры для уклонения от обнаружения, затруднения анализа, сбора всех украденных данных и передачи их через Telegram. Злоумышленники все чаще отдают предпочтение Telegram как безопасному средству связи.
