SteganoAmor Attack Operation
Ang TA558 hacking group ay nagpasimula ng bagong campaign, na gumagamit ng steganography upang mag-embed ng mapaminsalang code sa loob ng mga larawan. Binibigyang-daan sila ng diskarteng ito na lihim na ipamahagi ang isang hanay ng mga tool sa malware sa mga partikular na system, na umiiwas sa pagtuklas ng parehong mga user at software ng seguridad.
Mula noong 2018, ang TA558 ay nagdulot ng malaking banta, pangunahin ang pag-target sa hospitality at turismo sa buong mundo, na may kapansin-pansing pagtutok sa Latin America. Kamakailan, inihayag ng mga eksperto sa cybersecurity ang kanilang pinakabagong pagsisikap, na tinatawag na 'SteganoAmor,' na itinatampok ang matinding pag-asa nito sa steganography. Inihayag ng pagsusuri ang higit sa 320 pag-atake na nauugnay sa kampanyang ito, na nakakaapekto sa iba't ibang sektor at bansa.
Talaan ng mga Nilalaman
Nagsisimula ang SteganoAmor sa Pagpapalaganap ng Mga Mapanlinlang na Email
Nagsisimula ang pag-atake sa mga mapanlinlang na email na naglalaman ng tila hindi nakakapinsalang mga attachment ng dokumento, karaniwang nasa Excel o Word na format, na ginagamit ang kahinaan ng CVE-2017-11882. Ang kapintasang ito, na nakaapekto sa Microsoft Office Equation Editor at na-patch noong 2017, ay nagsisilbing isang karaniwang target. Ang mga email na ito ay ipinapadala mula sa mga nakompromisong SMTP server upang mapahusay ang kanilang pagiging lehitimo at mabawasan ang posibilidad na ma-block.
Sa mga pagkakataon kung saan ginagamit ang isang lumang bersyon ng Microsoft Office, pinalitaw ng pagsasamantala ang pag-download ng Visual Basic Script (VBS) mula sa lehitimong 'i-paste sa pagbukas ng file.ee' na serbisyo. Kasunod nito, ang script na ito ay isinasagawa upang kunin ang isang file ng imahe (JPG) na naglalaman ng base-64 na naka-encode na payload. Sa loob ng script na naka-embed sa larawan, pinapadali ng PowerShell code ang pagkuha ng huling payload, na nakatago sa loob ng isang text file at naka-encode sa reverse na base64 na format.
Maraming Mapanganib na Banta na Inilapat bilang Mga Panghuling Payload
Naobserbahan ng mga mananaliksik ang maraming pag-ulit ng chain ng pag-atake, bawat isa ay nagpapakilala ng magkakaibang hanay ng mga pamilya ng malware. Kabilang sa mga ito ang AgentTesla , gumagana bilang spyware na may kakayahang mag-keylogging at pagnanakaw ng kredensyal; FormBook, dalubhasa sa pag-aani ng mga kredensyal at pagsasagawa ng mga remote command; Remcos , pinapagana ang remote na pamamahala at pagsubaybay sa makina; LokiBot , nagta-target ng sensitibong data mula sa iba't ibang application; Gulo a der, nagsisilbing downloader para sa mga pangalawang payload, Snake Keylogger , kumukuha ng mga keystroke at kredensyal at XWorm , na nagbibigay ng malayuang pag-access sa mga nakompromisong computer.
Ang mga huling payload at mapanlinlang na script ay kadalasang nakakahanap ng kanlungan sa mga mapagkakatiwalaang serbisyo sa cloud tulad ng Google Drive upang samantalahin ang kanilang magandang reputasyon at maiwasan ang pagtuklas ng anti-malware. Ang na-harvest na impormasyon ay ipinapadala sa nakompromiso na mga lehitimong FTP server, na tinatago ang trapiko upang magmukhang normal. Mahigit sa 320 na pag-atake ang natukoy, na may pangunahing pagtuon sa mga bansa sa Latin America, kahit na ang saklaw ng pag-target ay umaabot sa buong mundo.
Ang Phishing ay Nananatiling Isang Napakahusay na Tool sa Arsenal ng mga Cybercriminals
Ang isang serye ng mga pag-atake sa phishing na inilunsad ng mga cybercriminal na nagta-target sa mga organisasyon ng pamahalaan sa buong Russia, Belarus, Kazakhstan, Uzbekistan, Kyrgyzstan, Tajikistan at Armenia ay inihayag ng mga eksperto sa infosec. Ang mga pag-atakeng ito ay nagde-deploy ng malware na tinatawag na LazyStealer, partikular na idinisenyo upang kunin ang mga kredensyal mula sa Google Chrome. Sinusubaybayan ng mga mananaliksik ang serye ng mga pag-atake na ito, na pinagsama-samang tinutukoy bilang Lazy Koala, na pinangalanan ayon sa sinasabing controller ng mga Telegram bot na tumatanggap ng ninakaw na data.
Higit pa rito, ang pagsusuri sa mga demograpiko ng biktima at mga katangian ng malware ay nagmumungkahi ng mga potensyal na koneksyon sa isa pang pangkat ng pag-hack na kilala bilang YoroTrooper (kilala rin bilang SturgeonPhisher). Ang pangunahing tool na ginagamit ng pangkat na ito ay isang pasimulang magnanakaw, na gumagamit ng mga hakbang na proteksiyon upang maiwasan ang pagtuklas, hadlangan ang pagsusuri, kolektahin ang lahat ng ninakaw na data, at ipadala ito sa pamamagitan ng Telegram. Ang Telegram ay lalong pinapaboran ng mga malisyosong aktor bilang isang ligtas na paraan ng komunikasyon.
