A SteganoAmor Attack Operation képeket használ a rosszindulatú programok terjesztésére

A TA558 néven ismert fenyegetettségi csoport megfigyelések szerint szteganográfiát alkalmaz, amely a képeken és szöveges fájlokon belüli adatok elrejtésének technikája, és különféle típusú rosszindulatú programokat terjeszt, például Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger és XWorm.

A Positive Technologies orosz kiberbiztonsági cég hétfőn arról számolt be, hogy a TA558 széles körben alkalmaz szteganográfiát, rosszindulatú szkripteket és dokumentumokat ágyazva be képekbe és szöveges fájlokba, például greatloverstory.vbs és easytolove.vbs fájlnevekkel. A SteganoAmor névre keresztelt kampány elsősorban a latin-amerikai országok ipari, szolgáltatási, állami, villamosenergia- és építőipari ágazatait célozza meg, bár Oroszország, Románia és Törökország vállalatait is érintette.

Egyéb támadások, amelyek a TA558 fenyegető színészhez kapcsolódnak

Azt is megfigyelték, hogy a TA558 Venom RAT-ot telepített adathalász támadások révén Spanyolországban, Mexikóban, az Egyesült Államokban, Kolumbiában, Portugáliában, Brazíliában, a Dominikai Köztársaságban és Argentínában. Ezek a támadások általában Microsoft Excel-mellékleteket tartalmazó adathalász e-mailekkel kezdődnek, amelyek egy javított biztonsági hibát (CVE-2017-11882) használnak ki a Visual Basic Script letöltéséhez, ami végül az Agent Tesla kártevő végrehajtásához vezet. Az Agent Tesla mellett a támadási lánc a FormBookot, a GuLoader-t, a LokiBotot, a Remcos RAT-ot, a Snake Keyloggert és az XWormot is szállíthatja, amelyek mindegyike távoli hozzáférésre, adatlopásra és másodlagos hasznos teherszállításra készült.

A hitelesség növelése és az e-mail átjárók elkerülése érdekében a TA558 adathalász e-maileket küld a feltört SMTP-kiszolgálókról, és fertőzött FTP-szervereket használ az ellopott adatok tárolására. Eközben egy másik csoport, amelyet a Positive Technologies Lazy Koala néven emleget, Oroszország, Fehéroroszország, Kazahsztán, Üzbegisztán, Kirgizisztán, Tádzsikisztán és Örményország kormányzati szervezeteit célozta meg a LazyStealer néven ismert rosszindulatú programmal, amelynek célja a Google Chrome hitelesítő adatainak begyűjtése.

Ez a tevékenység potenciális kapcsolatokra utal egy másik hackercsoporttal, a YoroTrooper-rel (más néven SturgeonPhisher), amint azt a Cisco Talos azonosította, az áldozatok földrajzi elhelyezkedése és a rosszindulatú programtermékek alapján.