SteganoAmor 攻击行动利用图像传播恶意软件

据观察，名为 TA558 的威胁组织采用隐写术（一种将数据隐藏在图像和文本文件中的技术）来传播各种类型的恶意软件，包括 Agent Tesla、FormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger 和 XWorm。

俄罗斯网络安全公司 Positive Technologies 周一报告称，TA558 广泛使用隐写术，将恶意脚本和文档嵌入图像和文本文件中，文件名为 greatloverstory.vbs 和 easytolove.vbs。这项名为 SteganoAmor 的活动主要针对拉丁美洲国家的工业、服务、公共、电力和建筑等行业，不过俄罗斯、罗马尼亚和土耳其的公司也受到了影响。

与威胁行为者 TA558 相关的其他攻击

TA558 还被发现通过针对西班牙、墨西哥、美国、哥伦比亚、葡萄牙、巴西、多米尼加共和国和阿根廷企业的网络钓鱼攻击部署 Venom RAT。这些攻击通常以包含 Microsoft Excel 附件的网络钓鱼电子邮件开始，利用已修补的安全漏洞 (CVE-2017-11882) 下载 Visual Basic 脚本，最终导致执行 Agent Tesla 恶意软件。除了 Agent Tesla，攻击链还可能传播 FormBook、GuLoader、LokiBot、Remcos RAT、Snake Keylogger 和 XWorm，所有这些恶意软件都旨在进行远程访问、数据窃取和二次有效载荷传递。

为了提高可信度并逃避电子邮件网关的检测，TA558 会从受感染的 SMTP 服务器发送钓鱼电子邮件，并使用受感染的 FTP 服务器存储被盗数据。与此同时，另一个被 Positive Technologies 称为“Lazy Koala”的组织一直在利用一种名为“LazyStealer”的恶意软件攻击俄罗斯、白俄罗斯、哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦、塔吉克斯坦和亚美尼亚的政府组织，目的是窃取 Google Chrome 凭据。

根据受害者地理位置和恶意软件痕迹，思科 Talos 发现此项活动与另一个黑客组织 YoroTrooper（也称为 SturgeonPhisher）存在潜在联系。