„SteganoAmor Attack Operation“ naudoja vaizdus kenkėjiškoms programoms platinti

Buvo pastebėta, kad grėsmių grupė, žinoma kaip TA558, naudoja steganografiją – duomenų slėpimo vaizduose ir tekstiniuose failuose metodą, kad platintų įvairių tipų kenkėjiškas programas, įskaitant Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger ir XWorm.

Rusijos kibernetinio saugumo įmonė „Positive Technologies“ pirmadienį pranešė, kad TA558 plačiai naudoja steganografiją, į vaizdus ir tekstinius failus įterpdama kenkėjiškus scenarijus ir dokumentus su failų pavadinimais, tokiais kaip greatloverstory.vbs ir easytolove.vbs. Ši kampanija, pavadinta „SteganoAmor“, pirmiausia skirta tokioms pramonės šakoms kaip pramonė, paslaugos, viešasis, elektros energijos ir statybos sektoriai Lotynų Amerikos šalyse, nors nukentėjo ir Rusijos, Rumunijos ir Turkijos įmonės.

Kiti išpuoliai, susiję su grėsmės aktoriumi TA558

Taip pat buvo pastebėta, kad TA558 diegia Venom RAT per sukčiavimo atakas, nukreiptas į Ispanijos, Meksikos, JAV, Kolumbijos, Portugalijos, Brazilijos, Dominikos Respublikos ir Argentinos įmones. Šios atakos paprastai prasideda nuo sukčiavimo el. laiškų, kuriuose yra „Microsoft Excel“ priedų, naudojančių pataisytą saugos trūkumą (CVE-2017-11882), siekiant atsisiųsti „Visual Basic“ scenarijų, o tai galiausiai sukelia „Agent Tesla“ kenkėjiškos programos vykdymą. Be agento „Tesla“, atakų grandinė taip pat gali pristatyti „FormBook“, „GuLoader“, „LokiBot“, „Remcos RAT“, „Snake Keylogger“ ir „XWorm“, kurie visi yra skirti nuotolinei prieigai, duomenų vagystei ir antriniam naudingojo krovinio pristatymui.

Siekdama padidinti patikimumą ir išvengti el. pašto šliuzų, TA558 siunčia sukčiavimo el. laiškus iš pažeistų SMTP serverių, o pavogtiems duomenims saugoti naudoja užkrėstus FTP serverius. Tuo tarpu kita grupė, kurią „Positive Technologies“ vadina „tingiąja koala“, nusitaikė į Rusijos, Baltarusijos, Kazachstano, Uzbekistano, Kirgizijos, Tadžikistano ir Armėnijos vyriausybines organizacijas, naudodama kenkėjišką programą „LazyStealer“, kuria siekiama surinkti „Google Chrome“ kredencialus.

Ši veikla rodo galimus ryšius su kita įsilaužimo grupe „YoroTrooper“ (taip pat žinoma kaip „SturgeonPhisher“), kurią nustatė „Cisco Talos“, remiantis aukų geografija ir kenkėjiškų programų artefaktais.