Operacija napada SteganoAmor
Hekerska skupina TA558 je sprožila novo kampanjo z uporabo steganografije za vdelavo škodljive kode v slike. Ta tehnika jim omogoča, da tajno razdelijo vrsto orodij za zlonamerno programsko opremo v določene sisteme, pri čemer se izognejo odkrivanju tako uporabnikom kot varnostni programski opremi.
Od leta 2018 je TA558 predstavljal veliko grožnjo, usmerjeno predvsem na gostinske in turistične subjekte po vsem svetu, s poudarkom na Latinski Ameriki. Pred kratkim so strokovnjaki za kibernetsko varnost razkrili svoj najnovejši podvig, imenovan "SteganoAmor", pri čemer so poudarili njegovo močno odvisnost od steganografije. Analiza je razkrila več kot 320 napadov, povezanih s to kampanjo, ki so vplivali na različne sektorje in države.
Kazalo
SteganoAmor se začne z razširjanjem goljufivih elektronskih sporočil
Napad se začne z zavajajočimi e-poštnimi sporočili, ki vsebujejo na videz neškodljive priponke dokumentov, običajno v formatu Excel ali Word, ki izkoriščajo ranljivost CVE-2017-11882. Ta napaka, ki je prizadela Microsoft Office Equation Editor in je bila popravljena leta 2017, je pogosta tarča. Ta e-poštna sporočila so poslana z ogroženih strežnikov SMTP, da se poveča njihova legitimnost in zmanjša verjetnost blokiranja.
V primerih, ko je v uporabi zastarela različica Microsoft Officea, izkoriščanje sproži prenos skripta Visual Basic (VBS) iz zakonite storitve »prilepi ob odpiranju datoteke.ee«. Nato se izvede ta skript za pridobitev slikovne datoteke (JPG), ki vsebuje vsebino, kodirano base-64. Znotraj skripta, vdelanega v sliko, koda PowerShell olajša pridobivanje končnega tovora, skritega v besedilni datoteki in kodiranega v obrnjenem formatu base64.
Številne škodljive grožnje, razporejene kot končna koristna obremenitev
Raziskovalci so opazili številne ponovitve verige napadov, pri čemer je vsaka predstavila raznoliko paleto družin zlonamerne programske opreme. Med temi so AgentTesla , ki deluje kot vohunska programska oprema, zmožna zapisovanja tipk in kraje poverilnic; FormBook, specializiran za zbiranje poverilnic in izvajanje oddaljenih ukazov; Remcos , ki omogoča oddaljeno upravljanje in nadzor stroja; LokiBot , ki cilja na občutljive podatke iz različnih aplikacij; Gulo a der, ki služi kot prenosnik za sekundarne koristne obremenitve, Snake Keylogger , ki zajema pritiske tipk in poverilnice, ter XWorm , ki omogoča oddaljeni dostop do ogroženih računalnikov.
Končni koristni tovori in goljufivi skripti pogosto najdejo zatočišče v uglednih storitvah v oblaku, kot je Google Drive, da izkoristijo njihov sloves in se izognejo zaznavanju zlonamerne programske opreme. Zbrane informacije se prenesejo na ogrožene legitimne strežnike FTP, pri čemer se promet prikrije, da je videti normalen. Identificiranih je bilo več kot 320 napadov, pri čemer je bil glavni poudarek na državah Latinske Amerike, čeprav se obseg ciljanja širi po vsem svetu.
Lažno predstavljanje ostaja izjemno močno orodje v arzenalu kibernetskih kriminalcev
Strokovnjaki infosec so razkrili niz napadov z lažnim predstavljanjem, ki so jih izvedli kibernetski kriminalci in so ciljali na vladne organizacije v Rusiji, Belorusiji, Kazahstanu, Uzbekistanu, Kirgizistanu, Tadžikistanu in Armeniji. Ti napadi uporabljajo zlonamerno programsko opremo, imenovano LazyStealer, ki je posebej zasnovana za pridobivanje poverilnic iz Google Chroma. Raziskovalci spremljajo to serijo napadov, skupaj imenovanih Lazy Koala, poimenovanih po domnevnem nadzorniku botov Telegram, ki prejemajo ukradene podatke.
Poleg tega analiza demografskih podatkov žrtev in značilnosti zlonamerne programske opreme kaže na morebitne povezave z drugo hekersko skupino, znano kot YoroTrooper (znana tudi kot SturgeonPhisher). Primarno orodje, ki ga uporablja ta skupina, je osnovni tat, ki uporablja zaščitne ukrepe za izogibanje odkrivanju, oviranje analize, zbiranje vseh ukradenih podatkov in njihovo posredovanje prek Telegrama. Zlonamerni akterji vse bolj dajejo prednost Telegramu kot varnemu komunikacijskemu sredstvu.
