TA558-hackers gebruiken afbeeldingen voor grootschalige malware-aanvallen

De bedreigingsacteur gevolgd als TA558 Er is waargenomen dat steganografie wordt gebruikt als een verduisteringstechniek om een ​​breed scala aan malware te verspreiden, zoals onder meer Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger en XWorm.

“De groep heeft uitgebreid gebruik gemaakt van steganografie door VBS's, PowerShell-code en RTF-documenten met een ingebedde exploit in afbeeldingen en tekstbestanden te verzenden”, zei het Russische cyberbeveiligingsbedrijf Positive Technologies in een rapport van maandag.

De campagne heeft de codenaam SteganoAmor gekregen vanwege zijn afhankelijkheid van steganografie en de keuze van bestandsnamen zoals greatloverstory.vbs en easytolove.vbs.

Het merendeel van de aanvallen was gericht op de industriële, diensten-, publieke, elektriciteits- en bouwsectoren in Latijns-Amerikaanse landen, hoewel ook bedrijven in Rusland, Roemenië en Turkije werden uitgekozen.

Cyberbeveiliging

De ontwikkeling komt omdat TA558 ook is opgemerkt bij het inzetten van Venom RAT via phishing-aanvallen gericht op bedrijven in Spanje, Mexico, de Verenigde Staten, Colombia, Portugal, Brazilië, de Dominicaanse Republiek en Argentinië.

Het begint allemaal met een phishing-e-mail met een boobytrap-e-mailbijlage van Microsoft Excel die misbruik maakt van een inmiddels gerepareerde beveiligingsfout in de Equation Editor (CVE-2017-11882) om een ​​Visual Basic-script te downloaden dat op zijn beurt de volgende fase ophaalt lading uit pasta[.]ee.

De verborgen kwaadaardige code zorgt voor het downloaden van twee afbeeldingen van een externe URL die zijn ingebed in een Base64-gecodeerde component die uiteindelijk de Agent Tesla-malware ophaalt en uitvoert op de getroffen host.

Malware-aanvallen

Naast Agent Tesla hebben andere varianten van de aanvalsketen geleid tot een assortiment malware zoals FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger en XWorm, die zijn ontworpen voor externe toegang, gegevensdiefstal en levering van secundaire payloads.

De phishing-e-mails worden verzonden vanaf legitieme maar gecompromitteerde SMTP-servers om de berichten een beetje geloofwaardigheid te geven en de kans te verkleinen dat ze worden geblokkeerd door e-mailgateways. Bovendien is gebleken dat TA558 geïnfecteerde FTP-servers gebruikt om de gestolen gegevens te ensceneren.

De onthulling komt tegen de achtergrond van een reeks phishing-aanvallen gericht op overheidsorganisaties in Rusland, Wit-Rusland, Kazachstan, Oezbekistan, Kirgizië, Tadzjikistan en Armenië met een malware genaamd LazyStealer om inloggegevens van Google Chrome te verzamelen.

Cyberbeveiliging

Positive Technologies volgt het activiteitencluster onder de naam Lazy Koala, verwijzend naar de naam van de gebruiker (joekoala), die naar verluidt de Telegram-bots bestuurt die de gestolen gegevens ontvangen.

Dat gezegd hebbende, wijzen de geografie van het slachtoffer en de malware-artefacten op mogelijke links naar een andere hackgroep die door Cisco Talos wordt gevolgd onder de naam YoroTrooper (ook bekend als SturgeonPhisher).

“Het belangrijkste instrument van de groep is een primitieve dief, wiens bescherming helpt om detectie te omzeilen, de analyse te vertragen, alle gestolen gegevens te bemachtigen en deze naar Telegram te sturen, dat met het jaar aan populariteit wint bij kwaadwillende actoren”, zegt veiligheidsonderzoeker Vladislav Lunin. gezegd.

De bevindingen volgen ook op een golf van social engineering-campagnes die zijn ontworpen om malwarefamilies zoals FatalRAT en SolarMarker te verspreiden.

Thijs Van der Does