SteganoAmor 攻击行动利用图像传播恶意软件
据观察,名为 TA558 的威胁组织采用隐写术(一种将数据隐藏在图像和文本文件中的技术)来传播各种类型的恶意软件,包括 Agent Tesla、FormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger 和 XWorm。
俄罗斯网络安全公司 Positive Technologies 周一报告称,TA558 广泛使用隐写术,将恶意脚本和文档嵌入图像和文本文件中,文件名为 greatloverstory.vbs 和 easytolove.vbs。这项名为 SteganoAmor 的活动主要针对拉丁美洲国家的工业、服务、公共、电力和建筑等行业,不过俄罗斯、罗马尼亚和土耳其的公司也受到了影响。
与威胁行为者 TA558 相关的其他攻击
TA558 还被发现通过针对西班牙、墨西哥、美国、哥伦比亚、葡萄牙、巴西、多米尼加共和国和阿根廷企业的网络钓鱼攻击部署 Venom RAT。这些攻击通常以包含 Microsoft Excel 附件的网络钓鱼电子邮件开始,利用已修补的安全漏洞 (CVE-2017-11882) 下载 Visual Basic 脚本,最终导致执行 Agent Tesla 恶意软件。除了 Agent Tesla,攻击链还可能传播 FormBook、GuLoader、LokiBot、Remcos RAT、Snake Keylogger 和 XWorm,所有这些恶意软件都旨在进行远程访问、数据窃取和二次有效载荷传递。
为了提高可信度并逃避电子邮件网关的检测,TA558 会从受感染的 SMTP 服务器发送钓鱼电子邮件,并使用受感染的 FTP 服务器存储被盗数据。与此同时,另一个被 Positive Technologies 称为“Lazy Koala”的组织一直在利用一种名为“LazyStealer”的恶意软件攻击俄罗斯、白俄罗斯、哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦、塔吉克斯坦和亚美尼亚的政府组织,目的是窃取 Google Chrome 凭据。
根据受害者地理位置和恶意软件痕迹,思科 Talos 发现此项活动与另一个黑客组织 YoroTrooper(也称为 SturgeonPhisher)存在潜在联系。