Chiến dịch tấn công SteganoAmor
Nhóm hack TA558 đã khởi xướng một chiến dịch mới, sử dụng kỹ thuật giấu tin để nhúng mã độc hại vào hình ảnh. Kỹ thuật này cho phép chúng bí mật phân phối nhiều loại công cụ phần mềm độc hại vào các hệ thống cụ thể, tránh sự phát hiện của cả người dùng và phần mềm bảo mật.
Kể từ năm 2018, TA558 đã gây ra mối đe dọa đáng kể, chủ yếu nhắm vào các tổ chức khách sạn và du lịch trên toàn cầu, đặc biệt tập trung vào Châu Mỹ Latinh. Gần đây, các chuyên gia an ninh mạng đã tiết lộ nỗ lực mới nhất của họ, có tên là 'SteganoAmor', nhấn mạnh sự phụ thuộc nhiều vào kỹ thuật giấu tin. Phân tích cho thấy hơn 320 cuộc tấn công liên quan đến chiến dịch này, ảnh hưởng đến nhiều lĩnh vực và quốc gia khác nhau.
Mục lục
SteganoAmor bắt đầu bằng việc phổ biến các email lừa đảo
Cuộc tấn công bắt đầu bằng các email lừa đảo mang theo các tệp đính kèm tài liệu dường như vô hại, thường ở định dạng Excel hoặc Word, lợi dụng lỗ hổng CVE-2017-11882. Lỗ hổng này đã ảnh hưởng đến Microsoft Office Equation Editor và đã được vá vào năm 2017, đóng vai trò là mục tiêu chung. Những email này được gửi từ các máy chủ SMTP bị xâm nhập để nâng cao tính hợp pháp của chúng và giảm khả năng bị chặn.
Trong trường hợp sử dụng phiên bản Microsoft Office lỗi thời, việc khai thác sẽ kích hoạt tải xuống Visual Basic Script (VBS) từ dịch vụ 'dán khi mở file.ee' hợp pháp. Sau đó, tập lệnh này được thực thi để truy xuất tệp hình ảnh (JPG) chứa tải trọng được mã hóa cơ sở 64. Trong tập lệnh được nhúng trong hình ảnh, mã PowerShell tạo điều kiện thuận lợi cho việc truy xuất tải trọng cuối cùng, được ẩn trong tệp văn bản và được mã hóa ở định dạng base64 đảo ngược.
Vô số mối đe dọa có hại được triển khai dưới dạng tải trọng cuối cùng
Các nhà nghiên cứu đã quan sát thấy nhiều lần lặp lại của chuỗi tấn công, mỗi lần giới thiệu nhiều loại phần mềm độc hại khác nhau. Trong số này có AgentTesla , hoạt động như phần mềm gián điệp có khả năng ghi lại thao tác bàn phím và đánh cắp thông tin xác thực; FormBook, chuyên thu thập thông tin xác thực và thực thi các lệnh từ xa; Remcos , cho phép quản lý và giám sát máy từ xa; LokiBot , nhắm mục tiêu dữ liệu nhạy cảm từ nhiều ứng dụng khác nhau; Gulo a der, đóng vai trò là trình tải xuống cho các tải trọng thứ cấp, Snake Keylogger , ghi lại các thao tác bàn phím và thông tin xác thực và XWorm , cấp quyền truy cập từ xa vào các máy tính bị xâm nhập.
Các tải trọng cuối cùng và các tập lệnh lừa đảo thường tìm nơi trú ẩn trong các dịch vụ đám mây có uy tín như Google Drive để khai thác danh tiếng có lợi của chúng và trốn tránh việc phát hiện phần mềm chống phần mềm độc hại. Thông tin thu thập được sẽ được truyền đến các máy chủ FTP hợp pháp bị xâm nhập, che giấu lưu lượng truy cập để có vẻ bình thường. Hơn 320 cuộc tấn công đã được xác định, tập trung chủ yếu vào các nước Mỹ Latinh, mặc dù phạm vi nhắm mục tiêu mở rộng trên toàn cầu.
Lừa đảo vẫn là một công cụ cực kỳ mạnh mẽ trong kho vũ khí của tội phạm mạng
Một loạt các cuộc tấn công lừa đảo do tội phạm mạng thực hiện nhằm vào các tổ chức chính phủ trên khắp Nga, Belarus, Kazakhstan, Uzbekistan, Kyrgyzstan, Tajikistan và Armenia đã được các chuyên gia an ninh thông tin đưa ra ánh sáng. Các cuộc tấn công này triển khai một phần mềm độc hại có tên LazyStealer, được thiết kế đặc biệt để trích xuất thông tin xác thực từ Google Chrome. Các nhà nghiên cứu đang theo dõi loạt cuộc tấn công này, được gọi chung là Lazy Koala, được đặt theo tên của người điều khiển các bot Telegram nhận dữ liệu bị đánh cắp.
Hơn nữa, phân tích nhân khẩu học của nạn nhân và đặc điểm phần mềm độc hại cho thấy các mối liên hệ tiềm ẩn với một nhóm hack khác có tên YoroTrooper (còn được gọi là SturgeonPhisher). Công cụ chính được nhóm này sử dụng là một kẻ đánh cắp thô sơ, sử dụng các biện pháp bảo vệ để tránh bị phát hiện, cản trở việc phân tích, thu thập tất cả dữ liệu bị đánh cắp và truyền nó qua Telegram. Telegram ngày càng được các tác nhân độc hại ưa chuộng như một phương tiện liên lạc an toàn.
