Атака SteganoAmor использует изображения для распространения вредоносного ПО
Группа угроз, известная как TA558, использовала стеганографию (метод сокрытия данных в изображениях и текстовых файлах) для распространения различных типов вредоносного ПО, включая Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger и XWorm.
Российская компания по кибербезопасности Positive Technologies сообщила в понедельник, что TA558 широко использует стеганографию, встраивая вредоносные сценарии и документы в изображения и текстовые файлы с такими именами, как greatloverstory.vbs и easytolove.vbs. Эта кампания, получившая название SteganoAmor, в первую очередь нацелена на такие отрасли, как промышленность, сфера услуг, общественный сектор, электроэнергетика и строительный сектор в странах Латинской Америки, хотя компании в России, Румынии и Турции также пострадали.
Другие атаки, связанные с злоумышленником TA558
Также было замечено, что TA558 использовал Venom RAT посредством фишинговых атак, нацеленных на предприятия в Испании, Мексике, США, Колумбии, Португалии, Бразилии, Доминиканской Республике и Аргентине. Эти атаки обычно начинаются с фишинговых писем, содержащих вложения Microsoft Excel, в которых используется исправленная уязвимость безопасности (CVE-2017-11882) для загрузки сценария Visual Basic, что в конечном итоге приводит к запуску вредоносного ПО Agent Tesla. Помимо Agent Tesla, цепочка атак может также включать FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger и XWorm, предназначенные для удаленного доступа, кражи данных и вторичной доставки полезной нагрузки.
Чтобы повысить доверие и обойти шлюзы электронной почты, TA558 отправляет фишинговые электронные письма со скомпрометированных SMTP-серверов и использует зараженные FTP-серверы для хранения украденных данных. Тем временем другая группа, которую Positive Technologies называет Lazy Koala, атаковала правительственные организации в России, Беларуси, Казахстане, Узбекистане, Кыргызстане, Таджикистане и Армении с помощью вредоносного ПО, известного как LazyStealer, нацеленного на сбор учетных данных Google Chrome.
Эта деятельность предполагает потенциальные связи с другой хакерской группой YoroTrooper (также известной как SturgeonPhisher), как это идентифицировано Cisco Talos на основе географии жертв и вредоносных артефактов.