SteganoAmor Saldırı Operasyonu
TA558 bilgisayar korsanlığı grubu, görüntülerin içine zararlı kod yerleştirmek için steganografiyi kullanan yeni bir kampanya başlattı. Bu teknik, bir dizi kötü amaçlı yazılım aracını belirli sistemlere gizlice dağıtmalarına ve hem kullanıcılar hem de güvenlik yazılımları tarafından tespit edilmekten kaçınmalarına olanak tanır.
TA558, 2018 yılından bu yana, başta Latin Amerika olmak üzere dünya çapındaki konaklama ve turizm kuruluşlarını hedef alan önemli bir tehdit oluşturuyor. Son zamanlarda siber güvenlik uzmanları, steganografiye olan yoğun bağımlılığın altını çizen 'SteganoAmor' adlı son çalışmalarını açıkladılar. Analiz, bu kampanyayla ilişkili, çeşitli sektörleri ve ülkeleri etkileyen 320'den fazla saldırıyı ortaya çıkardı.
İçindekiler
SteganoAmor, Sahte E-postaların Yayılmasıyla Başlıyor
Saldırı, CVE-2017-11882 güvenlik açığından yararlanarak, genellikle Excel veya Word biçiminde, görünüşte zararsız belge ekleri taşıyan aldatıcı e-postalarla başlıyor. Microsoft Office Denklem Düzenleyicisi'ni etkileyen ve 2017 yılında yamalanan bu kusur, ortak bir hedef görevi görüyor. Bu e-postalar, meşruiyetlerini artırmak ve engellenme olasılığını azaltmak için güvenliği ihlal edilmiş SMTP sunucularından gönderilir.
Microsoft Office'in eski bir sürümünün kullanıldığı durumlarda, bu istismar, meşru 'file.ee açıldığında yapıştır' hizmetinden bir Visual Basic Komut Dosyasının (VBS) indirilmesini tetikliyor. Daha sonra bu komut dosyası, base-64 kodlu bir veri içeren bir görüntü dosyasını (JPG) almak için yürütülür. Görüntüye gömülü komut dosyasındaki PowerShell kodu, bir metin dosyasında gizlenen ve ters base64 biçiminde kodlanan son veri yükünün alınmasını kolaylaştırır.
Çok Sayıda Zararlı Tehdit Nihai Yük Olarak Dağıtıldı
Araştırmacılar, saldırı zincirinin, her biri çeşitli kötü amaçlı yazılım aileleri içeren çok sayıda yinelemesini gözlemledi. Bunlar arasında, keylogging ve kimlik bilgisi hırsızlığı yapabilen casus yazılım olarak işlev gören AgentTesla ; Kimlik bilgilerini toplama ve uzaktan komutları yürütme konusunda uzmanlaşmış FormBook ; Uzaktan makine yönetimine ve gözetimine olanak sağlayan Remcos ; LokiBot , çeşitli uygulamalardan gelen hassas verileri hedef alıyor; İkincil veriler için indirici görevi gören Snake Keylogger , tuş vuruşlarını ve kimlik bilgilerini yakalayan ve güvenliği ihlal edilmiş bilgisayarlara uzaktan erişim sağlayan XWorm'u içerir .
Nihai veriler ve sahte komut dosyaları, genellikle Google Drive gibi saygın bulut hizmetlerinin olumlu itibarından yararlanmak ve kötü amaçlı yazılımdan koruma tespitinden kaçınmak için onlara sığınır. Toplanan bilgiler, güvenliği ihlal edilmiş meşru FTP sunucularına iletilerek trafiğin normal görünmesi maskelenir. Hedefleme kapsamı küresel olarak genişlese de, öncelikli olarak Latin Amerika ülkelerine odaklanan 320'den fazla saldırı tespit edildi.
Kimlik Avı, Siber Suçluların Cephaneliğinde Son Derece Güçlü Bir Araç Olmaya Devam Ediyor
Siber suçluların Rusya, Belarus, Kazakistan, Özbekistan, Kırgızistan, Tacikistan ve Ermenistan'daki devlet kurumlarını hedef alan bir dizi kimlik avı saldırısı, infosec uzmanları tarafından gün ışığına çıkarıldı. Bu saldırılar, LazyStealer adı verilen ve özellikle Google Chrome'dan kimlik bilgilerini çıkarmak için tasarlanmış bir kötü amaçlı yazılım dağıtıyor. Araştırmacılar, toplu olarak Tembel Koala olarak adlandırılan ve çalınan verileri alan Telegram botlarının sözde denetleyicisinden adını alan bu saldırı dizisini izliyor.
Ayrıca, kurbanın demografisi ve kötü amaçlı yazılım özelliklerinin analizi, YoroTrooper (SturgeonPhisher olarak da bilinir) olarak bilinen başka bir bilgisayar korsanlığı grubuyla potansiyel bağlantıları ortaya koyuyor. Bu grup tarafından kullanılan birincil araç, tespit edilmekten kaçınmak, analizi engellemek, çalınan tüm verileri toplamak ve bunları Telegram aracılığıyla iletmek için koruyucu önlemler kullanan ilkel bir hırsızdır. Telegram, güvenli bir iletişim aracı olarak kötü niyetli aktörler tarafından giderek daha fazla tercih ediliyor.
