Операција напада СтеганоАмор
Хакерска група ТА558 покренула је нову кампању, користећи стеганографију за уградњу штетног кода у слике. Ова техника им омогућава да тајно дистрибуирају низ алата за малвер на одређене системе, избегавајући да их открију и корисници и безбедносни софтвер.
Од 2018. године, ТА558 представља значајну претњу, углавном циљајући на угоститељске и туристичке субјекте широм света, са значајним фокусом на Латинску Америку. Недавно су стручњаци за сајбер безбедност представили свој најновији подухват, назван 'СтеганоАмор', наглашавајући његово снажно ослањање на стеганографију. Анализа је открила више од 320 напада повезаних са овом кампањом, који су утицали на различите секторе и земље.
Преглед садржаја
СтеганоАмор почиње са ширењем лажних е-порука
Напад почиње обмањујућим имејловима који носе наизглед безопасне прилоге докумената, обично у Екцел или Ворд формату, користећи ЦВЕ-2017-11882 рањивост. Ова мана, која је утицала на Мицрософт Оффице Екуатион Едитор и која је закрпљена 2017. године, служи као уобичајена мета. Ове е-поруке се шаљу са компромитованих СМТП сервера да би се побољшала њихова легитимност и смањила вероватноћа да буду блокирани.
У случајевима када се користи застарела верзија Мицрософт Оффице-а, експлоатација покреће преузимање Висуал Басиц скрипте (ВБС) из легитимне услуге „налепи након отварања датотеке.ее“. Након тога, ова скрипта се извршава да би се преузела датотека слике (ЈПГ) која садржи корисни терет кодиран у бази 64. Унутар скрипте уграђене у слику, ПоверСхелл код олакшава преузимање коначног корисног оптерећења, скривеног у текстуалној датотеци и кодираног у обрнутом басе64 формату.
Бројне штетне претње распоређене као коначни терет
Истраживачи су приметили бројне итерације ланца напада, од којих свака представља разнолик спектар породица малвера. Међу њима су АгентТесла , који функционише као шпијунски софтвер способан за клавијање и крађу акредитива; ФормБоок, специјализован за прикупљање акредитива и извршавање даљинских команди; Ремцос , омогућава даљинско управљање машинама и надзор; ЛокиБот , циљајући осетљиве податке из различитих апликација; Гуло а дер, који служи као програм за преузимање секундарних корисних података, Снаке Кеилоггер , који хвата притисак на тастере и акредитиве и КСВорм , омогућава удаљени приступ компромитованим рачунарима.
Коначни корисни терети и лажне скрипте често проналазе уточиште у реномираним услугама у облаку као што је Гоогле Дриве да би искористили своју повољну репутацију и избегли откривање малвера. Сакупљене информације се преносе на компромитоване легитимне ФТП сервере, маскирајући саобраћај да изгледа нормално. Идентификовано је преко 320 напада, са примарним фокусом на земље Латинске Америке, иако се обим циљања шири широм света.
Пхисхинг остаје изузетно моћно средство у арсеналу сајбер криминалаца
Стручњаци за инфосец су открили низ фишинг напада које су покренули сајбер криминалци на владине организације широм Русије, Белорусије, Казахстана, Узбекистана, Киргизије, Таџикистана и Јерменије. Ови напади примењују злонамерни софтвер који се зове ЛазиСтеалер, посебно дизајниран да извуче акредитиве из Гоогле Цхроме-а. Истраживачи прате ову серију напада, који се заједнички називају Лења коала, назван по наводном контролору Телеграм ботова који примају украдене податке.
Штавише, анализа демографије жртве и карактеристика малвера сугерише потенцијалне везе са другом хакерском групом познатом као ИороТроопер (такође познатом као СтургеонПхисхер). Примарни алат који користи ова група је рудиментарни крадљивац, који користи заштитне мере да избегне откривање, омета анализу, прикупи све украдене податке и пренесе их преко Телеграма. Телеграм све више фаворизују злонамерни актери као безбедно средство комуникације.
