Operacja ataku SteganoAmor wykorzystuje obrazy do rozprzestrzeniania złośliwego oprogramowania

Zaobserwowano, że grupa zagrożeń znana jako TA558 wykorzystuje steganografię, technikę ukrywania danych w obrazach i plikach tekstowych, do dystrybucji różnych typów złośliwego oprogramowania, w tym Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger i XWorm.

Rosyjska firma zajmująca się cyberbezpieczeństwem Positive Technologies poinformowała w poniedziałek, że TA558 szeroko wykorzystuje steganografię, osadzając złośliwe skrypty i dokumenty w obrazach i plikach tekstowych o nazwach takich jak Greatloverstory.vbs i easytolove.vbs. Kampania ta, nazwana SteganoAmor, jest skierowana przede wszystkim do branż takich jak przemysł, usługi, sektor publiczny, energetyka i budownictwo w krajach Ameryki Łacińskiej, choć dotknęły także firmy w Rosji, Rumunii i Turcji.

Inne ataki powiązane z aktorem zagrażającym TA558

Zaobserwowano również, że TA558 wdrażał Venom RAT poprzez ataki phishingowe wymierzone w przedsiębiorstwa w Hiszpanii, Meksyku, Stanach Zjednoczonych, Kolumbii, Portugalii, Brazylii, Republice Dominikany i Argentynie. Ataki te zazwyczaj rozpoczynają się od wiadomości e-mail phishingowych zawierających załączniki programu Microsoft Excel, wykorzystujących załataną lukę w zabezpieczeniach (CVE-2017-11882) w celu pobrania skryptu Visual Basic, co ostatecznie prowadzi do uruchomienia szkodliwego oprogramowania Agent Tesla. Oprócz Agenta Tesli łańcuch ataków może również obejmować FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger i XWorm, wszystkie zaprojektowane do zdalnego dostępu, kradzieży danych i dostarczania dodatkowego ładunku.

Aby zwiększyć wiarygodność i ominąć bramki pocztowe, TA558 wysyła wiadomości phishingowe z zaatakowanych serwerów SMTP i wykorzystuje zainfekowane serwery FTP do przechowywania skradzionych danych. W międzyczasie inna grupa, określana przez Positive Technologies jako Lazy Koala, atakuje organizacje rządowe w Rosji, Białorusi, Kazachstanie, Uzbekistanie, Kirgistanie, Tadżykistanie i Armenii za pomocą złośliwego oprogramowania znanego jako LazyStealer, którego celem jest przechwytywanie danych uwierzytelniających Google Chrome.

Ta aktywność sugeruje potencjalne powiązania z inną grupą hakerską, YoroTrooper (znaną również jako SturgeonPhisher), zidentyfikowaną przez Cisco Talos na podstawie lokalizacji ofiar i artefaktów złośliwego oprogramowania.