Una dintre cele mai recente campanii conduse de grupul de hackeri TA558 utilizează steganografia pentru a ascunde coduri maligne în imagini, cu scopul de a livra diverse instrumente malware către sistemele vizate.
Steganografia este tehnica de ascundere a datelor în fișiere aparent inofensive, pentru a le face nedetectabile de către utilizatori și produsele de securitate.
TA558 este un actor de amenințare activ din 2018, cunoscut pentru vizarea organizațiilor din domeniul ospitalității și turismului din întreaga lume, cu accent pe America Latină.
Cea mai recentă campanie a grupului, numită „SteganoAmor” datorită utilizării extinse a steganografiei, a fost descoperită de Positive Technologies. Cercetătorii au identificat peste 320 de atacuri în cadrul acestei campanii care au afectat diverse sectoare și țări.
Atacurile încep cu e-mailuri maligne care conțin atașamente de documente aparent inofensive (fișiere Excel și Word) care exploatează vulnerabilitatea CVE-2017-11882, o vulnerabilitate comună vizată în Microsoft Office Equation Editor și reparată în 2017.
E-mailurile sunt trimise de pe servere SMTP compromise pentru a minimiza șansele ca mesajele să fie blocate, deoarece provin de la domenii legitime.
Dacă este instalată o versiune veche a Microsoft Office, exploitul va descărca un script Visual Basic Script (VBS) de la serviciul legitim ‘paste upon opening the file. ee’. Acest script este apoi executat pentru a prelua un fișier imagine (JPG) care conține un payload codat în base-64.
Codul PowerShell din scriptul conținut în imagine descarcă payload-ul final ascuns într-un fișier text sub forma unui executabil codificat în base64 inversat.
Positive Technologies a observat mai multe variante ale lanțului de atac, care livrează o gamă diversificată de familii de malware, inclusiv:
Payload-urile finale și scripturile maligne sunt adesea stocate în servicii cloud legitime precum Google Drive, profitând de buna lor reputație pentru a evita să fie semnalate de către instrumentele AV.
Informațiile furate sunt trimise către serverele FTP legitime compromise folosite ca infrastructură de comandă și control (C2) pentru a face traficul să pară normal.
Positive Technologies a descoperit peste 320 de atacuri, majoritatea concentrate în țările din America Latină, dar domeniul de vizare se extinde la nivel mondial.
Folosirea unei vulnerabilități de șapte ani în lanțul de atac TA558 face destul de ușoră apărarea împotriva lui SteganoAmor, deoarece actualizarea Microsoft Office la o versiune mai recentă ar inutiliza aceste atacuri.
O listă completă a indicatorilor de compromitere (IoCs) este disponibilă la sfârșitul raportului.
Leave a Reply