ปฏิบัติการโจมตีสเตกาโนอามอร์
กลุ่มแฮ็ค TA558 ได้เริ่มแคมเปญใหม่ โดยใช้การซ่อนข้อมูลเพื่อฝังโค้ดที่เป็นอันตรายภายในรูปภาพ เทคนิคนี้ช่วยให้พวกเขาสามารถกระจายเครื่องมือมัลแวร์จำนวนมากอย่างลับๆ ไปยังระบบเฉพาะ โดยหลบเลี่ยงการตรวจจับจากทั้งผู้ใช้และซอฟต์แวร์ความปลอดภัย
ตั้งแต่ปี 2561 TA558 ได้ก่อให้เกิดภัยคุกคามที่สำคัญ โดยมีเป้าหมายหลักคือธุรกิจการบริการและการท่องเที่ยวทั่วโลก โดยเน้นที่ละตินอเมริกาเป็นหลัก เมื่อเร็วๆ นี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยความพยายามล่าสุดของพวกเขา ที่เรียกว่า 'SteganoAmor' โดยเน้นย้ำถึงการพึ่งพาอย่างมากต่อ Steganography การวิเคราะห์เผยให้เห็นการโจมตีมากกว่า 320 ครั้งที่เกี่ยวข้องกับแคมเปญนี้ ซึ่งส่งผลกระทบต่อภาคส่วนและประเทศที่หลากหลาย
สารบัญ
SteganoAmor เริ่มต้นด้วยการเผยแพร่อีเมลหลอกลวง
การโจมตีเริ่มต้นด้วยอีเมลหลอกลวงซึ่งมีไฟล์แนบเอกสารที่ดูไม่เป็นอันตราย โดยทั่วไปจะอยู่ในรูปแบบ Excel หรือ Word โดยใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 ข้อบกพร่องนี้ซึ่งส่งผลกระทบต่อ Microsoft Office Equation Editor และได้รับการติดตั้งในปี 2560 และทำหน้าที่เป็นเป้าหมายร่วมกัน อีเมลเหล่านี้ถูกส่งจากเซิร์ฟเวอร์ SMTP ที่ถูกบุกรุกเพื่อปรับปรุงความถูกต้องตามกฎหมายและลดโอกาสที่จะถูกบล็อก
ในกรณีที่มีการใช้งาน Microsoft Office เวอร์ชันเก่า การใช้ประโยชน์จะกระตุ้นให้มีการดาวน์โหลด Visual Basic Script (VBS) จากบริการ 'วางเมื่อเปิดไฟล์.ee' ที่ถูกต้องตามกฎหมาย ต่อจากนั้น สคริปต์นี้จะถูกเรียกใช้งานเพื่อดึงข้อมูลไฟล์รูปภาพ (JPG) ที่มีเพย์โหลดที่เข้ารหัส base-64 ภายในสคริปต์ที่ฝังอยู่ในรูปภาพ โค้ด PowerShell อำนวยความสะดวกในการเรียกข้อมูลเพย์โหลดสุดท้าย ซึ่งซ่อนอยู่ในไฟล์ข้อความ และเข้ารหัสในรูปแบบ base64 แบบกลับด้าน
ภัยคุกคามที่เป็นอันตรายจำนวนมากถูกปรับใช้เป็นเพย์โหลดสุดท้าย
นักวิจัยได้สังเกตเห็นการวนซ้ำของห่วงโซ่การโจมตี โดยแต่ละกลุ่มทำให้เกิดตระกูลมัลแวร์ที่หลากหลาย หนึ่งในนั้นคือ AgentTesla ซึ่งทำงานเป็นสปายแวร์ที่สามารถล็อกคีย์และขโมยข้อมูลประจำตัวได้ FormBook เชี่ยวชาญในการเก็บเกี่ยวข้อมูลประจำตัวและดำเนินการคำสั่งระยะไกล Remcos เปิดใช้งานการจัดการและการเฝ้าระวังเครื่องจักรจากระยะไกล LokiBot กำหนดเป้าหมายข้อมูลที่ละเอียดอ่อนจากแอปพลิเคชันต่างๆ Gulo a der ทำหน้าที่เป็นตัวดาวน์โหลดสำหรับเพย์โหลดรอง, Snake Keylogger , บันทึกการกดแป้นพิมพ์และข้อมูลประจำตัว และ XWorm ให้สิทธิ์การเข้าถึงระยะไกลไปยังคอมพิวเตอร์ที่ถูกบุกรุก
เพย์โหลดสุดท้ายและสคริปต์ฉ้อโกงมักจะพบที่หลบภัยในบริการคลาวด์ที่มีชื่อเสียง เช่น Google Drive เพื่อใช้ประโยชน์จากชื่อเสียงอันพึงใจและหลบเลี่ยงการตรวจจับมัลแวร์ ข้อมูลที่เก็บเกี่ยวจะถูกส่งไปยังเซิร์ฟเวอร์ FTP ที่ถูกต้องตามกฎหมายที่ถูกบุกรุก ซึ่งปกปิดการรับส่งข้อมูลให้ปรากฏเป็นปกติ มีการระบุการโจมตีมากกว่า 320 ครั้ง โดยมุ่งเน้นไปที่ประเทศในละตินอเมริกาเป็นหลัก แม้ว่าขอบเขตการกำหนดเป้าหมายจะขยายไปทั่วโลกก็ตาม
ฟิชชิ่งยังคงเป็นเครื่องมือที่ทรงพลังอย่างยิ่งในคลังแสงของอาชญากรไซเบอร์
การโจมตีแบบฟิชชิ่งจำนวนมากที่เริ่มต้นโดยอาชญากรไซเบอร์ที่กำหนดเป้าหมายไปที่องค์กรภาครัฐทั่วรัสเซีย เบลารุส คาซัคสถาน อุซเบกิสถาน คีร์กีซสถาน ทาจิกิสถาน และอาร์เมเนีย ได้รับการเปิดเผยโดยผู้เชี่ยวชาญของ infosec การโจมตีเหล่านี้ใช้มัลแวร์ที่เรียกว่า LazyStealer ซึ่งออกแบบมาเพื่อดึงข้อมูลประจำตัวจาก Google Chrome โดยเฉพาะ นักวิจัยกำลังติดตามการโจมตีชุดนี้ ซึ่งเรียกรวมกันว่า Lazy Koala ซึ่งตั้งชื่อตามผู้ควบคุมบอท Telegram ที่ได้รับข้อมูลที่ขโมยมา
นอกจากนี้ การวิเคราะห์ลักษณะประชากรและมัลแวร์ของเหยื่อยังชี้ให้เห็นถึงความเชื่อมโยงที่อาจเกิดขึ้นกับกลุ่มแฮ็กอื่นที่รู้จักกันในชื่อ YoroTrooper (หรือที่รู้จักในชื่อ SturgeonPhisher) เครื่องมือหลักที่ใช้โดยกลุ่มนี้คือตัวขโมยขั้นพื้นฐาน ซึ่งใช้มาตรการป้องกันเพื่อหลบเลี่ยงการตรวจจับ ขัดขวางการวิเคราะห์ รวบรวมข้อมูลที่ถูกขโมยทั้งหมด และส่งผ่านโทรเลข Telegram ได้รับความนิยมมากขึ้นเรื่อยๆ จากผู้ประสงค์ร้ายในฐานะวิธีการสื่อสารที่ปลอดภัย
