SteganoAmor 攻击行动

TA558 黑客组织发起了一场新活动，利用隐写术将有害代码嵌入图像中。这种技术使他们能够秘密地将一系列恶意软件工具分发到特定系统上，从而逃避用户和安全软件的检测。

自 2018 年以来，TA558 已构成重大威胁，主要针对全球的酒店和旅游业实体，尤其是拉丁美洲。最近，网络安全专家公布了他们的最新成果“SteganoAmor”，强调其对隐写术的严重依赖。分析显示，与此活动相关的攻击超过 320 次，影响了不同的行业和国家。

SteganoAmor 开始传播欺诈性电子邮件

攻击始于带有看似无害的文档附件（通常是 Excel 或 Word 格式）的欺骗性电子邮件，利用 CVE-2017-11882 漏洞。该漏洞影响了 Microsoft Office 公式编辑器，并于 2017 年进行了修补，因此成为常见的攻击目标。这些电子邮件从受感染的 SMTP 服务器发送，以增强其合法性并降低被阻止的可能性。

在使用旧版 Microsoft Office 的情况下，漏洞会触发从合法的“打开 file.ee 时粘贴”服务下载 Visual Basic 脚本 (VBS)。随后，执行此脚本以检索包含 base-64 编码有效负载的图像文件 (JPG)。在嵌入在图像中的脚本中，PowerShell 代码有助于检索最终的有效负载，该有效负载隐藏在文本文件中并以反向 base64 格式编码。

大量有害威胁被部署为最终载荷

研究人员观察到攻击链多次迭代，每次迭代都引入了各种恶意软件家族。其中包括AgentTesla ，可充当间谍软件，记录键盘输入并窃取凭证； FormBook ，专门收集凭证并执行远程命令； Remcos ，可实现远程机器管理和监视； LokiBot ，以各种应用程序中的敏感数据为目标； Gulo a der ，充当辅助有效载荷的下载器； Snake Keylogger ，可捕获击键和凭证； XWorm ，可授予对受感染计算机的远程访问权限。

最终的有效载荷和欺诈脚本通常会利用 Google Drive 等信誉良好的云服务来逃避反恶意软件检测。收集到的信息会传输到受感染的合法 FTP 服务器，从而掩盖流量以使其看起来正常。目前已发现 320 多起攻击，主要集中在拉丁美洲国家，但攻击范围已扩展到全球。

网络钓鱼仍然是网络犯罪分子手中极其有效的工具

信息安全专家揭露了网络犯罪分子针对俄罗斯、白俄罗斯、哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦、塔吉克斯坦和亚美尼亚政府机构发起的一系列网络钓鱼攻击。这些攻击部署了一种名为 LazyStealer 的恶意软件，专门用于从 Google Chrome 中提取凭据。研究人员正在监控这一系列攻击，统称为 Lazy Koala，以接收被盗数据的 Telegram 机器人的所谓控制者命名。

此外，对受害者人口统计数据和恶意软件特征的分析表明，该恶意软件可能与另一个名为 YoroTrooper（又名 SturgeonPhisher）的黑客组织有关。该组织使用的主要工具是一个基本的窃取程序，它采用保护措施来逃避检测、阻碍分析、收集所有被盗数据并通过 Telegram 进行传输。Telegram 作为一种安全的通信方式，越来越受到恶意行为者的青睐。