SteganoAmor-Angriffsoperation
Die Hackergruppe TA558 hat eine neue Kampagne gestartet, bei der sie mithilfe von Steganografie schädlichen Code in Bilder einbettet. Mit dieser Technik können sie heimlich eine Reihe von Malware-Tools auf bestimmte Systeme verteilen und dabei die Erkennung durch Benutzer und Sicherheitssoftware vermeiden.
Seit 2018 stellt TA558 eine erhebliche Bedrohung dar und zielt vor allem auf Gastgewerbe und Tourismusunternehmen auf der ganzen Welt ab, mit einem besonderen Schwerpunkt auf Lateinamerika. Vor kurzem stellten Cybersicherheitsexperten ihr neuestes Projekt mit dem Namen „SteganoAmor“ vor und betonten, dass es stark auf Steganografie basiert. Analysen ergaben mehr als 320 Angriffe im Zusammenhang mit dieser Kampagne, die sich auf verschiedene Sektoren und Länder auswirkten.
Inhaltsverzeichnis
SteganoAmor beginnt mit der Verbreitung betrügerischer E-Mails
Der Angriff beginnt mit betrügerischen E-Mails, die scheinbar harmlose Dokumentanhänge enthalten, normalerweise im Excel- oder Word-Format, und nutzt die Sicherheitslücke CVE-2017-11882 aus. Dieser Fehler, der den Microsoft Office Equation Editor betraf und 2017 gepatcht wurde, ist ein häufiges Ziel. Diese E-Mails werden von kompromittierten SMTP-Servern versendet, um ihre Legitimität zu erhöhen und die Wahrscheinlichkeit einer Blockierung zu verringern.
In Fällen, in denen eine veraltete Version von Microsoft Office verwendet wird, löst der Exploit den Download eines Visual Basic-Skripts (VBS) vom legitimen Dienst „Beim Öffnen der Datei einfügen“ aus. Anschließend wird dieses Skript ausgeführt, um eine Bilddatei (JPG) abzurufen, die eine Base-64-codierte Nutzlast enthält. Innerhalb des im Bild eingebetteten Skripts erleichtert PowerShell-Code den Abruf der endgültigen Nutzlast, die in einer Textdatei verborgen und im umgekehrten Base-64-Format codiert ist.
Zahlreiche schädliche Bedrohungen als endgültige Nutzlasten bereitgestellt
Forscher haben zahlreiche Iterationen der Angriffskette beobachtet, von denen jede eine Vielzahl unterschiedlicher Malware-Familien einführte. Dazu gehören AgentTesla , das als Spyware fungiert und Keylogging und Anmeldeinformationen stehlen kann; FormBook, das auf das Sammeln von Anmeldeinformationen und die Ausführung von Remote-Befehlen spezialisiert ist; Remcos , das die Remote-Verwaltung und -Überwachung von Geräten ermöglicht; LokiBot , das es auf vertrauliche Daten aus verschiedenen Anwendungen abgesehen hat; Gulo a der, das als Downloader für sekundäre Payloads dient, Snake Keylogger , das Tastaturanschläge und Anmeldeinformationen aufzeichnet, und XWorm , das Fernzugriff auf infizierte Computer gewährt.
Die endgültigen Payloads und betrügerischen Skripte finden oft Zuflucht in seriösen Cloud-Diensten wie Google Drive, um deren guten Ruf auszunutzen und der Erkennung durch Anti-Malware zu entgehen. Die gesammelten Informationen werden an kompromittierte legitime FTP-Server übertragen, wobei der Datenverkehr maskiert wird und normal aussieht. Es wurden über 320 Angriffe identifiziert, wobei der Schwerpunkt hauptsächlich auf lateinamerikanischen Ländern liegt, obwohl der Zielbereich weltweit ist.
Phishing bleibt ein äußerst wirksames Werkzeug im Arsenal der Cyberkriminellen
Eine Reihe von Phishing-Angriffen von Cyberkriminellen auf Regierungsorganisationen in Russland, Weißrussland, Kasachstan, Usbekistan, Kirgisistan, Tadschikistan und Armenien wurden von Infosec-Experten aufgedeckt. Bei diesen Angriffen wird eine Malware namens LazyStealer eingesetzt, die speziell darauf ausgelegt ist, Anmeldeinformationen aus Google Chrome zu extrahieren. Forscher beobachten diese Angriffsserie, die zusammenfassend als Lazy Koala bezeichnet wird, benannt nach dem angeblichen Controller der Telegram-Bots, die die gestohlenen Daten empfangen.
Darüber hinaus deutet die Analyse der demografischen Daten der Opfer und der Malware-Eigenschaften auf mögliche Verbindungen zu einer anderen Hackergruppe namens YoroTrooper (auch bekannt als SturgeonPhisher) hin. Das von dieser Gruppe verwendete Haupttool ist ein rudimentärer Stealer, der Schutzmaßnahmen einsetzt, um der Erkennung zu entgehen, die Analyse zu behindern, alle gestohlenen Daten zu sammeln und sie über Telegram zu übertragen. Telegram wird von böswilligen Akteuren zunehmend als sicheres Kommunikationsmittel bevorzugt.
