SteganoAmor-Angriff nutzt Bilder zur Verbreitung von Malware

Es wurde beobachtet, dass die als TA558 bekannte Bedrohungsgruppe Steganografie einsetzte, eine Technik zum Verbergen von Daten in Bildern und Textdateien, um verschiedene Arten von Schadsoftware zu verbreiten, darunter Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger und XWorm.

Das russische Cybersicherheitsunternehmen Positive Technologies berichtete am Montag, dass TA558 Steganografie in großem Umfang nutzt und bösartige Skripte und Dokumente in Bilder und Textdateien mit Dateinamen wie greatloverstory.vbs und easytolove.vbs einbettet. Diese Kampagne mit dem Namen SteganoAmor zielt in erster Linie auf Branchen wie die Industrie, den Dienstleistungssektor, den öffentlichen Sektor, den Energie- und den Bausektor in lateinamerikanischen Ländern ab, obwohl auch Unternehmen in Russland, Rumänien und der Türkei betroffen sind.

Weitere mit dem Bedrohungsakteur TA558 verbundene Angriffe

Es wurde auch beobachtet, dass TA558 Venom RAT durch Phishing-Angriffe einsetzte, die auf Unternehmen in Spanien, Mexiko, den Vereinigten Staaten, Kolumbien, Portugal, Brasilien, der Dominikanischen Republik und Argentinien abzielten. Diese Angriffe beginnen normalerweise mit Phishing-E-Mails mit Microsoft Excel-Anhängen, die eine gepatchte Sicherheitslücke (CVE-2017-11882) ausnutzen, um ein Visual Basic-Skript herunterzuladen, was letztendlich zur Ausführung der Agent Tesla-Malware führt. Neben Agent Tesla kann die Angriffskette auch FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger und XWorm bereitstellen, die alle für Fernzugriff, Datendiebstahl und die Bereitstellung sekundärer Nutzdaten entwickelt wurden.

Um seine Glaubwürdigkeit zu erhöhen und E-Mail-Gateways zu umgehen, versendet TA558 Phishing-E-Mails von kompromittierten SMTP-Servern und verwendet infizierte FTP-Server, um gestohlene Daten zu speichern. Unterdessen hat eine andere Gruppe, die von Positive Technologies als Lazy Koala bezeichnet wird, Regierungsorganisationen in Russland, Weißrussland, Kasachstan, Usbekistan, Kirgisistan, Tadschikistan und Armenien mit einer Malware namens LazyStealer ins Visier genommen, die darauf abzielt, Google Chrome-Anmeldeinformationen zu erbeuten.

Diese Aktivität deutet auf mögliche Verbindungen zu einer anderen Hackergruppe, YoroTrooper (auch bekannt als SturgeonPhisher), hin, die von Cisco Talos anhand der Opfergeografie und Malware-Artefakten identifiziert wurde.