SteganoAmor 攻擊操作利用影像傳播惡意軟體

據觀察，名為TA558 的威脅組織使用隱寫術（一種在圖像和文字檔案中隱藏資料的技術）來分發各種類型的惡意軟體，包括Agent Tesla、FormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger 和XWorm。

俄羅斯網路安全公司 Positive Technologies 週一報告稱，TA558 廣泛使用隱寫術，將惡意腳本和文件嵌入到圖像和文字檔案中，檔案名稱例如greatloverstory.vbs 和 easytolove.vbs。這項名為 SteganoAmor 的活動主要針對拉丁美洲國家的工業、服務、公共、電力和建築等產業，但俄羅斯、羅馬尼亞和土耳其的公司也受到了影響。

與威脅行為體 TA558 相關的其他攻擊

TA558 也被發現透過針對西班牙、墨西哥、美國、哥倫比亞、葡萄牙、巴西、多明尼加共和國和阿根廷企業的網路釣魚攻擊來部署 Venom RAT。這些攻擊通常從包含 Microsoft Excel 附件的網路釣魚電子郵件開始，利用已修補的安全漏洞 (CVE-2017-11882) 下載 Visual Basic 腳本，最終導致 Agent Tesla 惡意軟體的執行。除了 Agent Tesla 之外，攻擊鏈還可能提供 FormBook、GuLoader、LokiBot、Remcos RAT、Snake Keylogger 和 XWorm，所有這些都是為遠端存取、資料竊取和二次有效負載交付而設計的。

為了增強可信度並規避電子郵件網關，TA558 從受感染的 SMTP 伺服器發送網路釣魚電子郵件，並使用受感染的 FTP 伺服器來儲存被盜資料。同時，另一個被Positive Technologies 稱為Lazy Koala 的組織一直以俄羅斯、白俄羅斯、哈薩克、烏茲別克、吉爾吉斯、塔吉克和亞美尼亞的政府組織為目標，使用名為LazyStealer 的惡意軟體，旨在取得Google Chrome 憑證。

Cisco Talos 根據受害者地理位置和惡意軟體工件確定，此活動表明與另一個駭客組織 YoroTrooper（也稱為 SturgeonPhisher）有潛在聯繫。