SteganoAmor 攻擊行動

TA558 駭客組織發起了一場新的活動，利用隱寫術在圖像中嵌入有害程式碼。這種技術使他們能夠秘密地將一系列惡意軟體工具分發到特定係統上，從而逃避使用者和安全軟體的偵測。

自 2018 年以來，TA558 已構成重大威脅，主要針對全球各地的飯店和旅遊實體，特別是拉丁美洲。最近，網路安全專家公佈了他們的最新成果，名為“SteganoAmor”，強調了其對隱寫術的嚴重依賴。分析顯示，與此活動相關的攻擊超過 320 起，影響了不同的部門和國家。

SteganoAmor 從傳播詐騙電子郵件開始

該攻擊首先利用帶有 CVE-2017-11882 漏洞的看似無害的文件附件（通常為 Excel 或 Word 格式）的欺騙性電子郵件開始。此缺陷影響了 Microsoft Office 公式編輯器，並於 2017 年修復，是常見目標。這些電子郵件從受感染的 SMTP 伺服器發送，以增強其合法性並降低被阻止的可能性。

在使用過時版本的 Microsoft Office 的情況下，該漏洞會觸發從合法的「開啟 file.ee 時貼上」服務下載 Visual Basic 腳本 (VBS)。隨後，執行該腳本以擷取包含 Base-64 編碼有效負載的影像檔案 (JPG)。在圖像中嵌入的腳本中，PowerShell 程式碼有助於檢索隱藏在文字檔案中並以反向 Base64 格式編碼的最終有效負載。

作為最終有效負載部署的許多有害威脅

研究人員觀察到攻擊鏈的多次迭代，每次迭代都引入了多種惡意軟體家族。其中包括AgentTesla ，它充當間諜軟體，能夠進行鍵盤記錄和憑證盜竊； FormBook，專門用於收集憑證和執行遠端命令； Remcos ，實現遠端機器管理與監控； LokiBot ，針對來自各種應用程式的敏感資料； Gulo a der，用作輔助有效負載的下載器， Snake Keylogger ，捕獲擊鍵和憑證，以及XWorm ，授予對受感染電腦的遠端存取權限。

最終的有效負載和欺詐性腳本通常會在 Google Drive 等信譽良好的雲端服務中尋求庇護，以利用其良好的聲譽並逃避反惡意軟體偵測。收集到的信息被傳輸到受感染的合法 FTP 伺服器，從而掩蓋流量，使其看起來正常。已發現超過 320 起攻擊，主要集中在拉丁美洲國家，但目標範圍已擴展到全球。

網路釣魚仍然是網路犯罪分子的一個極其強大的工具

資訊安全專家揭露了網路犯罪分子針對俄羅斯、白俄羅斯、哈薩克、烏茲別克、吉爾吉斯、塔吉克和亞美尼亞政府組織發起的一系列網路釣魚攻擊。這些攻擊部署了一種名為 LazyStealer 的惡意軟體，專門用於從 Google Chrome 中提取憑證。研究人員正在監視這一系列攻擊，統稱為“Lazy Koala”，以接收竊取資料的 Telegram 機器人的據稱控制者的名字命名。

此外，對受害者人口統計和惡意軟體特徵的分析表明，與另一個名為 YoroTrooper（也稱為 SturgeonPhisher）的駭客組織存在潛在聯繫。該組織使用的主要工具是一個基本的竊取程序，它採用保護措施來逃避檢測、阻礙分析、收集所有被盜資料並透過 Telegram 傳輸。 Telegram 作為一種安全的通訊方式越來越受到惡意行為者的青睞。