SteganoAmor 攻撃活動は画像を使用してマルウェアを拡散
TA558 として知られる脅威グループは、画像やテキスト ファイル内にデータを隠す技術であるステガノグラフィーを使用して、Agent Tesla、FormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger、XWorm など、さまざまな種類のマルウェアを配布していることが確認されています。
ロシアのサイバーセキュリティ企業 Positive Technologies は月曜日、TA558 がステガノグラフィーを多用し、greatloverstory.vbs や easytolove.vbs といったファイル名の画像やテキストファイル内に悪意のあるスクリプトや文書を埋め込んでいると報告した。SteganoAmor と名付けられたこの攻撃は、主にラテンアメリカ諸国の工業、サービス、公共、電力、建設などの業界を狙っているが、ロシア、ルーマニア、トルコの企業も影響を受けている。
脅威アクター TA558 に関連するその他の攻撃
TA558 は、スペイン、メキシコ、米国、コロンビア、ポルトガル、ブラジル、ドミニカ共和国、アルゼンチンの企業を標的としたフィッシング攻撃を通じて Venom RAT を展開していることも確認されています。これらの攻撃は通常、パッチが適用されたセキュリティ上の欠陥 (CVE-2017-11882) を悪用して Visual Basic Script をダウンロードする Microsoft Excel 添付ファイルを含むフィッシング メールから始まり、最終的に Agent Tesla マルウェアの実行につながります。Agent Tesla に加えて、攻撃チェーンでは FormBook、GuLoader、LokiBot、Remcos RAT、Snake Keylogger、XWorm も配信される可能性があります。これらはすべて、リモート アクセス、データ盗難、および二次ペイロード配信を目的として設計されています。
TA558 は、信頼性を高めて電子メール ゲートウェイを回避するために、侵害された SMTP サーバーからフィッシング メールを送信し、感染した FTP サーバーを使用して盗んだデータを保存しています。一方、Positive Technologies が Lazy Koala と呼ぶ別のグループは、Google Chrome の認証情報を収集することを目的とした LazyStealer と呼ばれるマルウェアを使用して、ロシア、ベラルーシ、カザフスタン、ウズベキスタン、キルギスタン、タジキスタン、アルメニアの政府機関をターゲットにしています。
この活動は、被害者の所在地とマルウェアの痕跡に基づいて Cisco Talos が特定した別のハッキング グループ YoroTrooper (別名 SturgeonPhisher) との潜在的なつながりを示唆しています。