Η λειτουργία SteganoAmor Attack χρησιμοποιεί εικόνες για τη διάδοση κακόβουλου λογισμικού

Η ομάδα απειλών που είναι γνωστή ως TA558 έχει παρατηρηθεί να χρησιμοποιεί steganography, μια τεχνική απόκρυψης δεδομένων μέσα σε εικόνες και αρχεία κειμένου, για τη διανομή διαφόρων τύπων κακόβουλου λογισμικού, συμπεριλαμβανομένων των Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger και XWorm.

Η ρωσική εταιρεία κυβερνοασφάλειας Positive Technologies ανέφερε τη Δευτέρα ότι το TA558 χρησιμοποιεί εκτενώς steganography, ενσωματώνοντας κακόβουλα σενάρια και έγγραφα σε εικόνες και αρχεία κειμένου με ονόματα αρχείων όπως greatloverstory.vbs και easytolove.vbs. Αυτή η καμπάνια, που ονομάστηκε SteganoAmor, στοχεύει κυρίως βιομηχανίες όπως η βιομηχανία, οι υπηρεσίες, οι δημόσιοι τομείς, η ηλεκτρική ενέργεια και οι κατασκευαστικοί τομείς σε χώρες της Λατινικής Αμερικής, αν και εταιρείες στη Ρωσία, τη Ρουμανία και την Τουρκία έχουν επίσης επηρεαστεί.

Άλλες επιθέσεις που συνδέονται με το Threat Actor TA558

Το TA558 έχει επίσης παρατηρηθεί να αναπτύσσει το Venom RAT μέσω επιθέσεων phishing που στοχεύουν επιχειρήσεις στην Ισπανία, το Μεξικό, τις Ηνωμένες Πολιτείες, την Κολομβία, την Πορτογαλία, τη Βραζιλία, τη Δομινικανή Δημοκρατία και την Αργεντινή. Αυτές οι επιθέσεις συνήθως ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν συνημμένα του Microsoft Excel που εκμεταλλεύονται ένα επιδιορθωμένο ελάττωμα ασφαλείας (CVE-2017-11882) για τη λήψη ενός σεναρίου της Visual Basic, το οποίο τελικά οδηγεί στην εκτέλεση κακόβουλου λογισμικού Agent Tesla. Εκτός από τον Πράκτορα Tesla, η αλυσίδα επίθεσης μπορεί επίσης να παραδώσει τα FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger και XWorm, όλα σχεδιασμένα για απομακρυσμένη πρόσβαση, κλοπή δεδομένων και παράδοση δευτερεύοντος ωφέλιμου φορτίου.

Για να ενισχύσει την αξιοπιστία και να αποφύγει τις πύλες ηλεκτρονικού ταχυδρομείου, το TA558 στέλνει μηνύματα ηλεκτρονικού ψαρέματος από διακομιστές SMTP που έχουν παραβιαστεί και χρησιμοποιεί μολυσμένους διακομιστές FTP για την αποθήκευση κλεμμένων δεδομένων. Εν τω μεταξύ, μια άλλη ομάδα, που αναφέρεται ως Lazy Koala από την Positive Technologies, στοχεύει κυβερνητικούς οργανισμούς στη Ρωσία, τη Λευκορωσία, το Καζακστάν, το Ουζμπεκιστάν, την Κιργιζία, το Τατζικιστάν και την Αρμενία με ένα κακόβουλο λογισμικό γνωστό ως LazyStealer, με στόχο τη συλλογή διαπιστευτηρίων του Google Chrome.

Αυτή η δραστηριότητα υποδηλώνει πιθανές συνδέσεις με μια άλλη ομάδα hacking, την YoroTrooper (επίσης γνωστή ως SturgeonPhisher), όπως προσδιορίστηκε από τον Cisco Talos, με βάση τη γεωγραφία των θυμάτων και τα τεχνουργήματα κακόβουλου λογισμικού.