SteganoAmor Attack Operation använder bilder för att sprida skadlig programvara
Hotgruppen känd som TA558 har observerats använda steganografi, en teknik för att dölja data i bilder och textfiler, för att distribuera olika typer av skadlig programvara inklusive Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger och XWorm.
Det ryska cybersäkerhetsföretaget Positive Technologies rapporterade på måndagen att TA558 i stor utsträckning använder steganografi, bäddar in skadliga skript och dokument i bilder och textfiler med filnamn som greatloverstory.vbs och easytolove.vbs. Denna kampanj, kallad SteganoAmor, riktar sig främst till industrier som industri, tjänster, offentlig, elkraft och byggsektorer i latinamerikanska länder, även om företag i Ryssland, Rumänien och Turkiet också har drabbats.
Andra attacker kopplade till hotskådespelaren TA558
TA558 har också observerats använda Venom RAT genom nätfiskeattacker riktade mot företag i Spanien, Mexiko, USA, Colombia, Portugal, Brasilien, Dominikanska republiken och Argentina. Dessa attacker börjar vanligtvis med nätfiske-e-postmeddelanden som innehåller Microsoft Excel-bilagor som utnyttjar en korrigerad säkerhetsbrist (CVE-2017-11882) för att ladda ner ett Visual Basic-skript, vilket i slutändan leder till att Agent Tesla skadlig programvara körs. Utöver Agent Tesla kan attackkedjan även leverera FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger och XWorm, alla designade för fjärråtkomst, datastöld och sekundär nyttolastleverans.
För att öka trovärdigheten och undvika e-postgateways skickar TA558 nätfiske-e-post från komprometterade SMTP-servrar, och den använder infekterade FTP-servrar för att lagra stulen data. Samtidigt har en annan grupp, kallad Lazy Koala av Positive Technologies, riktat in sig på statliga organisationer i Ryssland, Vitryssland, Kazakstan, Uzbekistan, Kirgizistan, Tadzjikistan och Armenien med en skadlig programvara känd som LazyStealer, som syftar till att samla in Google Chrome-uppgifter.
Den här aktiviteten föreslår potentiella kopplingar till en annan hackargrupp, YoroTrooper (även känd som SturgeonPhisher), som identifierats av Cisco Talos, baserat på offrets geografi och skadliga artefakter.