Uočeno je da haker praćen kao TA558 koristi steganografiju kao tehniku zamagljivanja za isporuku širokog malvera kao što su Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger i XWorm, između ostalih.
“Grupa je uveliko koristila steganografiju slanjem VBS-ova, PowerShell koda, kao i RTF dokumenata sa ugrađenim eksploatacijom, unutar slika i tekstualnih datoteka”, rekla je ruska kompanija za sajber sigurnost Positive Technologies u izvještaju od ponedjeljka.
Kampanja je dobila kodni naziv SteganoAmor zbog oslanjanja na steganografiju i izbor naziva datoteka kao što su greatloverstory.vbs i easytolove.vbs.
Većina napada usmjerena je na industrijski, uslužni, javni, elektroenergetski i građevinski sektor u zemljama Latinske Amerike, iako su izdvojene i kompanije koje se nalaze u Rusiji, Rumuniji i Turskoj.
Razvoj dolazi kada je TA558 također primijećen kako implementira Venom RAT putem phishing napada usmjerenih na preduzeća koja se nalaze u Španiji, Meksiku, Sjedinjenim Državama, Kolumbiji, Portugalu, Brazilu, Dominikanskoj Republici i Argentini.
Sve počinje s phishing e-poštom koja sadrži zaraženi privitak e-pošte u Microsoft Excelu koji iskorištava sada zakrpljenu sigurnosnu grešku u uređivaču Equation (CVE-2017-11882) za preuzimanje Visual Basic skripte koja, zauzvrat, preuzima sljedeću fazu nosivost iz paste[.]ee.
Zamagljeni zlonamjerni kod brine o preuzimanju dvije slike sa eksternog URL-a koji dolaze sa ugrađenom komponentom kodiranom Base64 koja na kraju preuzima i izvršava malver Agent Tesla na kompromitovanom hostu.
Osim Agenta Tesle, druge varijante lanca napada dovele su do niza zlonamjernih programa kao što su FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger i XWorm, koji su dizajnirani za daljinski pristup, krađu podataka i isporuku sekundarnog tereta.
E-poruke za krađu identiteta šalju se sa legitimnih, ali kompromitovanih SMTP servera kako bi se porukama dalo malo kredibiliteta i smanjile šanse da ih e-mail gateway-i blokiraju. Osim toga, utvrđeno je da TA558 koristi zaražene FTP servere za postavljanje ukradenih podataka.
Ovo otkriće dolazi u pozadini niza phishing napada usmjerenih na vladine organizacije u Rusiji, Bjelorusiji, Kazahstanu, Uzbekistanu, Kirgistanu, Tadžikistanu i Armeniji sa zlonamjernim softverom pod nazivom LazyStealer za prikupljanje kredencijala iz Google Chrome-a.
Positive Technologies prati klaster aktivnosti pod imenom Lazy Koala u odnosu na ime korisnika (joekoala), za kojeg se kaže da kontroliše Telegram botove koji primaju ukradene podatke.
Ipak, geografija žrtve i artefakti malvera ukazuju na potencijalne veze sa drugom hakerskom grupom koju prati Cisco Talos pod imenom YoroTrooper (aka SturgeonPhisher).
“Glavno oruđe grupe je primitivni stealer, čija zaštita pomaže da se izbjegne otkrivanje, uspori analiza, prisvaja sve ukradene podatke i šalje Telegramu, koji svake godine postaje sve popularniji među zlonamjernim hakerima”, rekao je istraživač sigurnosti Vladislav Lunin.
Nalazi također prate talas kampanja društvenog inženjeringa koje su dizajnirane da propagiraju porodice malvera kao što su FatalRAT i SolarMarker.
Izvor: The Hacker News