Útočná operácia SteganoAmor
Hackerská skupina TA558 spustila novú kampaň, ktorá využíva steganografiu na vkladanie škodlivého kódu do obrázkov. Táto technika im umožňuje tajne distribuovať celý rad malvérových nástrojov na konkrétne systémy, čím sa vyhne detekcii zo strany používateľov aj bezpečnostného softvéru.
Od roku 2018 predstavuje TA558 významnú hrozbu, ktorá sa zameriava najmä na subjekty v oblasti pohostinstva a cestovného ruchu na celom svete, s výrazným zameraním na Latinskú Ameriku. Odborníci na kybernetickú bezpečnosť nedávno predstavili svoje najnovšie úsilie s názvom „SteganoAmor“, pričom zdôraznili jeho veľkú závislosť od steganografie. Analýza odhalila viac ako 320 útokov spojených s touto kampaňou, ktoré zasiahli rôzne sektory a krajiny.
Obsah
SteganoAmor začína šírením podvodných e-mailov
Útok začína klamlivými e-mailami, ktoré obsahujú zdanlivo neškodné prílohy dokumentov, zvyčajne vo formáte Excel alebo Word, pričom využívajú zraniteľnosť CVE-2017-11882. Táto chyba, ktorá ovplyvnila editor rovníc Microsoft Office a bola opravená v roku 2017, slúži ako spoločný cieľ. Tieto e-maily sa odosielajú z napadnutých serverov SMTP, aby sa zvýšila ich legitimita a znížila sa pravdepodobnosť zablokovania.
V prípadoch, keď sa používa zastaraná verzia balíka Microsoft Office, exploit spustí sťahovanie skriptu Visual Basic Script (VBS) z legitímnej služby „prilepiť pri otvorení súboru.ee“. Následne sa tento skript spustí, aby sa načítal obrazový súbor (JPG) obsahujúci užitočné zaťaženie zakódované v base-64. V rámci skriptu vloženého do obrázka uľahčuje kód PowerShell získanie konečného užitočného zaťaženia skrytého v textovom súbore a zakódovaného v obrátenom formáte base64.
Početné škodlivé hrozby nasadené ako konečné užitočné zaťaženie
Výskumníci pozorovali početné iterácie reťazca útokov, z ktorých každá predstavuje rôznorodú škálu rodín škodlivého softvéru. Medzi nimi je AgentTesla , fungujúci ako spyware schopný zaznamenávať kľúče a ukradnúť poverenia; FormBook, špecializujúca sa na získavanie poverení a vykonávanie vzdialených príkazov; Remcos umožňujúci vzdialenú správu a dohľad nad strojom; LokiBot , zameraný na citlivé údaje z rôznych aplikácií; Gulo a der, slúžiaci ako downloader pre sekundárne užitočné zaťaženie, Snake Keylogger , zachytávajúci stlačenia klávesov a poverení a XWorm , poskytujúci vzdialený prístup k napadnutým počítačom.
Konečné užitočné zaťaženie a podvodné skripty často nachádzajú útočisko v renomovaných cloudových službách, ako je Disk Google, aby využili svoju priaznivú povesť a vyhli sa detekcii škodlivého softvéru. Zozbierané informácie sa prenesú na napadnuté legitímne servery FTP, čím sa prenos zakryje tak, aby vyzeral normálne. Bolo identifikovaných viac ako 320 útokov s primárnym zameraním na krajiny Latinskej Ameriky, hoci rozsah zacielenia je celosvetový.
Phishing zostáva mimoriadne účinným nástrojom v arzenáli kyberzločincov
Experti z Infosec odhalili reťazec phishingových útokov spustených počítačovými zločincami zameranými na vládne organizácie v Rusku, Bielorusku, Kazachstane, Uzbekistane, Kirgizsku, Tadžikistane a Arménsku. Tieto útoky nasadzujú malvér s názvom LazyStealer, špeciálne navrhnutý na extrahovanie poverení z prehliadača Google Chrome. Výskumníci sledujú túto sériu útokov, spoločne označovaných ako Lazy Koala, pomenovaná po údajnom kontrolórovi telegramových robotov, ktorí dostávajú ukradnuté údaje.
Okrem toho analýza demografických údajov obetí a charakteristík malvéru naznačuje potenciálne spojenie s inou hackerskou skupinou známou ako YoroTrooper (tiež známa ako SturgeonPhisher). Primárnym nástrojom, ktorý táto skupina využíva, je základný zlodej, ktorý využíva ochranné opatrenia, aby sa vyhol detekcii, bránil analýze, zhromažďoval všetky ukradnuté údaje a prenášal ich prostredníctvom telegramu. Telegram čoraz viac uprednostňujú zlomyseľní aktéri ako bezpečný prostriedok komunikácie.
