Атакова операція SteganoAmor
Хакерська група TA558 ініціювала нову кампанію, використовуючи стеганографію для вбудовування шкідливого коду в зображення. Ця техніка дозволяє їм таємно поширювати ряд інструментів зловмисного програмного забезпечення в певних системах, уникаючи виявлення як користувачами, так і програмним забезпеченням безпеки.
З 2018 року TA558 представляє значну загрозу, головним чином націлену на організації гостинності та туризму по всьому світу, з особливою увагою до Латинської Америки. Нещодавно експерти з кібербезпеки оприлюднили свою останню розробку під назвою «SteganoAmor», підкресливши, що вона сильно покладається на стеганографію. Аналіз виявив понад 320 атак, пов’язаних із цією кампанією, які вплинули на різні сектори та країни.
Зміст
SteganoAmor починається з розповсюдження шахрайських електронних листів
Атака починається з оманливих електронних листів, які містять, здавалося б, нешкідливі вкладені документи, зазвичай у форматі Excel або Word, використовуючи вразливість CVE-2017-11882. Цей недолік, який вплинув на редактор формул Microsoft Office і був виправлений у 2017 році, є загальною метою. Ці електронні листи надсилаються зі зламаних серверів SMTP, щоб підвищити їх легітимність і зменшити ймовірність блокування.
У випадках, коли використовується застаріла версія Microsoft Office, експлойт запускає завантаження сценарію Visual Basic (VBS) із законної служби «вставити після відкриття file.ee». Згодом цей сценарій виконується для отримання файлу зображення (JPG), що містить корисне навантаження в кодуванні base-64. У сценарії, вбудованому в зображення, код PowerShell полегшує отримання остаточного корисного навантаження, прихованого в текстовому файлі та закодованого у зворотному форматі base64.
Численні шкідливі загрози, розгорнуті як остаточні корисні навантаження
Дослідники спостерігали за численними ітераціями ланцюжка атак, кожна з яких представляла різноманітні сімейства шкідливих програм. Серед них AgentTesla , що функціонує як шпигунське програмне забезпечення, здатне створювати клавіатурні журнали та викрадення облікових даних; FormBook, що спеціалізується на зборі облікових даних і виконанні віддалених команд; Remcos , що дозволяє дистанційно керувати машиною та стежити за нею; LokiBot , націлений на конфіденційні дані з різних програм; Gulo a der, який виконує функцію завантажувача для вторинних корисних даних, Snake Keylogger , що фіксує натискання клавіш і облікові дані, і XWorm , який надає віддалений доступ до скомпрометованих комп’ютерів.
Остаточні корисні навантаження та шахрайські сценарії часто знаходять притулок у авторитетних хмарних службах, таких як Google Drive, щоб скористатися їхньою сприятливою репутацією та уникнути виявлення зловмисного програмного забезпечення. Зібрана інформація передається на скомпрометовані законні FTP-сервери, маскуючи трафік, щоб він виглядав нормальним. Було ідентифіковано понад 320 атак, головним чином зосереджені на країнах Латинської Америки, хоча цільова сфера дії поширюється на весь світ.
Фішинг залишається надзвичайно потужним інструментом в арсеналі кіберзлочинців
Серія фішингових атак, запущених кіберзлочинцями проти державних організацій у Росії, Білорусі, Казахстані, Узбекистані, Киргизстані, Таджикистані та Вірменії, була виявлена експертами з питань інфосекцій. Ці атаки розгортають зловмисне програмне забезпечення під назвою LazyStealer, спеціально розроблене для отримання облікових даних із Google Chrome. Дослідники спостерігають за цією серією атак, яку спільно називають Lazy Koala, названу на честь передбачуваного контролера ботів Telegram, які отримують вкрадені дані.
Крім того, аналіз демографічних показників жертви та характеристик зловмисного програмного забезпечення свідчить про потенційні зв’язки з іншою хакерською групою, відомою як YoroTrooper (також відома як SturgeonPhisher). Основним інструментом, який використовує ця група, є рудиментарний викрадач, який використовує захисні заходи, щоб уникнути виявлення, перешкодити аналізу, збирати всі вкрадені дані та передавати їх через Telegram. Зловмисники все більше віддають перевагу Telegram як безпечний засіб спілкування.
