SteganoAmor Attack Operation
TA558-hackargruppen har initierat en ny kampanj som använder steganografi för att bädda in skadlig kod i bilder. Den här tekniken gör det möjligt för dem att i hemlighet distribuera en rad skadliga verktyg till specifika system, och undvika upptäckt av både användare och säkerhetsprogramvara.
Sedan 2018 har TA558 utgjort ett betydande hot, främst riktat mot gästfrihets- och turismenheter över hela världen, med ett anmärkningsvärt fokus på Latinamerika. Nyligen avslöjade cybersäkerhetsexperter sin senaste strävan, kallad "SteganoAmor", och lyfter fram dess starka beroende av steganografi. Analyser avslöjade mer än 320 attacker i samband med denna kampanj, som påverkade olika sektorer och länder.
Innehållsförteckning
SteganoAmor börjar med spridningen av bedrägliga e-postmeddelanden
Attacken börjar med bedrägliga e-postmeddelanden med till synes ofarliga dokumentbilagor, vanligtvis i Excel- eller Word-format, som utnyttjar sårbarheten CVE-2017-11882. Denna brist, som påverkade Microsoft Office Equation Editor och korrigerades 2017, fungerar som ett vanligt mål. Dessa e-postmeddelanden skickas från komprometterade SMTP-servrar för att öka deras legitimitet och minska sannolikheten för att blockeras.
I de fall där en föråldrad version av Microsoft Office används, utlöser utnyttjandet nedladdningen av ett Visual Basic Script (VBS) från den legitima "klistra in vid öppnande av file.ee"-tjänsten. Därefter exekveras detta skript för att hämta en bildfil (JPG) som innehåller en bas-64-kodad nyttolast. Inom skriptet som är inbäddat i bilden, underlättar PowerShell-koden hämtningen av den slutliga nyttolasten, dold i en textfil och kodad i omvänt base64-format.
Många skadliga hot utplacerade som slutgiltiga nyttolaster
Forskare har observerat ett flertal iterationer av attackkedjan, som var och en introducerar en mängd olika skadliga programfamiljer. Bland dessa är AgentTesla , som fungerar som spionprogram som klarar av tangentloggning och identitetsstöld; FormBook, specialiserad på att samla in referenser och utföra fjärrkommandon; Remcos , som möjliggör fjärrstyrning och övervakning av maskin; LokiBot , inriktad på känslig data från olika applikationer; Gulo a der, som fungerar som nedladdare för sekundära nyttolaster, Snake Keylogger , fångar tangenttryckningar och referenser och XWorm , ger fjärråtkomst till komprometterade datorer.
De slutliga nyttolasterna och bedrägliga skripten hittar ofta tillflyktsort i välrenommerade molntjänster som Google Drive för att utnyttja deras gynnsamma rykte och undvika upptäckt av skadlig programvara. Insamlad information överförs till komprometterade legitima FTP-servrar, vilket maskerar trafiken så att den ser normal ut. Över 320 attacker har identifierats, med ett primärt fokus på latinamerikanska länder, även om målinriktningen sträcker sig globalt.
Nätfiske är fortfarande ett extremt kraftfullt verktyg i cyberkriminellas arsenal
En rad nätfiskeattacker lanserade av cyberbrottslingar riktade mot statliga organisationer i Ryssland, Vitryssland, Kazakstan, Uzbekistan, Kirgizistan, Tadzjikistan och Armenien har uppdagats av infosec-experter. Dessa attacker distribuerar en skadlig programvara som heter LazyStealer, speciellt utformad för att extrahera referenser från Google Chrome. Forskare övervakar den här serien av attacker, gemensamt kallade Lazy Koala, uppkallad efter den påstådda kontrollanten för Telegram-botarna som tar emot den stöldade informationen.
Dessutom antyder analys av offrets demografi och egenskaper hos skadlig programvara potentiella kopplingar till en annan hackargrupp känd som YoroTrooper (även känd som SturgeonPhisher). Det primära verktyget som används av denna grupp är en rudimentär stjälare, som använder skyddsåtgärder för att undvika upptäckt, hindra analys, samla in all stölddata och överföra den via Telegram. Telegram har blivit alltmer gynnat av illvilliga aktörer som ett säkert kommunikationsmedel.
