SteganoAmor Attack Operation bruker bilder for å spre skadelig programvare
Trusselgruppen kjent som TA558 har blitt observert ved å bruke steganografi, en teknikk for å skjule data i bilder og tekstfiler, for å distribuere ulike typer skadelig programvare inkludert Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger og XWorm.
Det russiske nettsikkerhetsfirmaet Positive Technologies rapporterte mandag at TA558 i stor utstrekning bruker steganografi, og legger inn ondsinnede skript og dokumenter i bilder og tekstfiler med filnavn som greatloverstory.vbs og easytolove.vbs. Denne kampanjen, kalt SteganoAmor, retter seg først og fremst mot bransjer som industri, tjenester, offentlig, elektrisk kraft og byggsektorer i latinamerikanske land, selv om selskaper i Russland, Romania og Tyrkia også har blitt berørt.
Andre angrep knyttet til trusselskuespiller TA558
TA558 har også blitt observert å distribuere Venom RAT gjennom phishing-angrep rettet mot bedrifter i Spania, Mexico, USA, Colombia, Portugal, Brasil, Den dominikanske republikk og Argentina. Disse angrepene begynner vanligvis med phishing-e-poster som inneholder Microsoft Excel-vedlegg som utnytter en oppdatering av sikkerhetsfeil (CVE-2017-11882) for å laste ned et Visual Basic-skript, noe som til slutt fører til utførelse av Agent Tesla-skadevare. I tillegg til Agent Tesla, kan angrepskjeden også levere FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger og XWorm, alle designet for fjerntilgang, datatyveri og sekundær levering av nyttelast.
For å øke troverdigheten og unngå e-postgatewayer, sender TA558 phishing-e-poster fra kompromitterte SMTP-servere, og den bruker infiserte FTP-servere til å lagre stjålne data. I mellomtiden har en annen gruppe, referert til som Lazy Koala av Positive Technologies, vært rettet mot offentlige organisasjoner i Russland, Hviterussland, Kasakhstan, Usbekistan, Kirgisistan, Tadsjikistan og Armenia med en skadelig programvare kjent som LazyStealer, som har som mål å innhente Google Chrome-legitimasjon.
Denne aktiviteten antyder potensielle forbindelser til en annen hackergruppe, YoroTrooper (også kjent som SturgeonPhisher), som identifisert av Cisco Talos, basert på offergeografi og skadevareartefakter.