SteganoAmor Attack Operation bruger billeder til at sprede malware
Trusselsgruppen kendt som TA558 er blevet observeret ved at anvende steganografi, en teknik til at skjule data i billeder og tekstfiler, til at distribuere forskellige typer malware, herunder Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger og XWorm.
Det russiske cybersikkerhedsfirma Positive Technologies rapporterede mandag, at TA558 i vid udstrækning bruger steganografi, indlejrer ondsindede scripts og dokumenter i billeder og tekstfiler med filnavne såsom greatloverstory.vbs og easytolove.vbs. Denne kampagne, kaldet SteganoAmor, er primært rettet mod industrier som industri-, service-, offentlig, el- og byggesektorer i latinamerikanske lande, selvom virksomheder i Rusland, Rumænien og Tyrkiet også er blevet berørt.
Andre angreb knyttet til trusselskuespiller TA558
TA558 er også blevet observeret i at implementere Venom RAT gennem phishing-angreb rettet mod virksomheder i Spanien, Mexico, USA, Colombia, Portugal, Brasilien, Den Dominikanske Republik og Argentina. Disse angreb begynder typisk med phishing-e-mails, der indeholder Microsoft Excel-vedhæftede filer, der udnytter en rettet sikkerhedsfejl (CVE-2017-11882) til at downloade et Visual Basic-script, hvilket i sidste ende fører til udførelse af Agent Tesla-malware. Ud over Agent Tesla kan angrebskæden også levere FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger og XWorm, alle designet til fjernadgang, datatyveri og levering af sekundær nyttelast.
For at øge troværdigheden og undgå e-mail-gateways sender TA558 phishing-e-mails fra kompromitterede SMTP-servere, og den bruger inficerede FTP-servere til at gemme stjålne data. I mellemtiden har en anden gruppe, omtalt som Lazy Koala af Positive Technologies, været rettet mod statslige organisationer i Rusland, Hviderusland, Kasakhstan, Usbekistan, Kirgisistan, Tadsjikistan og Armenien med en malware kendt som LazyStealer, der sigter mod at høste Google Chrome-legitimationsoplysninger.
Denne aktivitet antyder potentielle forbindelser til en anden hackergruppe, YoroTrooper (også kendt som SturgeonPhisher), som identificeret af Cisco Talos, baseret på offergeografi og malware-artefakter.