Было замечено, что исполнитель угрозы, отслеживаемый как TA558, использует стеганографию в качестве метода обфускации для доставки широкого спектра вредоносных программ, таких как Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger и XWorm, среди прочих.
"Группа широко использовала стеганографию, отправляя VBS, код PowerShell, а также RTF-документы со встроенным эксплойтом внутри изображений и текстовых файлов", - говорится в отчете российской компании по кибербезопасности Positive Technologies, опубликованном в понедельник.
Кампания получила кодовое название SteganoAmor за использование стеганографии и выбор имен файлов, таких как greatloverstory.vbs и easytolove.vbs.
Большинство атак были нацелены на промышленность, сферу услуг, общественный сектор, электроэнергетику и строительство в странах Латинской Америки, хотя также были выделены компании, расположенные в России, Румынии и Турции.
Разработка происходит в связи с тем, что TA558 также была замечена в использовании Venom RAT посредством фишинговых атак, направленных на предприятия, расположенные в Испании, Мексике, Соединенных Штатах, Колумбии, Португалии, Бразилии, Доминиканской Республике и Аргентине.
Все начинается с фишингового электронного письма, содержащего заминированное вложение Microsoft Excel, которое использует исправленную брешь в системе безопасности в редакторе уравнений (CVE-2017-11882) для загрузки скрипта Visual Basic, который, в свою очередь, извлекает полезную нагрузку следующего этапа из paste[.]ee.
Скрытый вредоносный код обеспечивает загрузку двух изображений с внешнего URL-адреса, которые поставляются со встроенным компонентом в кодировке Base64, который в конечном итоге извлекает и запускает вредоносный агент Tesla на скомпрометированном хостинге.
Помимо Agent Tesla, другие варианты цепочки атак привели к появлению целого ряда вредоносных программ, таких как FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger и XWorm, которые предназначены для удаленного доступа, кражи данных и доставки вторичной полезной нагрузки.
Фишинговые электронные письма отправляются с законных, но скомпрометированных SMTP-серверов, чтобы придать сообщениям немного достоверности и свести к минимуму вероятность их блокировки почтовыми шлюзами. Кроме того, было обнаружено, что TA558 использует зараженные FTP-серверы для хранения украденных данных.
Раскрытие происходит на фоне серии фишинговых атак, направленных против правительственных организаций в России, Беларуси, Казахстане, Узбекистане, Кыргызстане, Таджикистане и Армении с помощью вредоносного ПО под названием LazyStealer для получения учетных данных из Google Chrome.
Positive Technologies отслеживает группу активности под именем Lazy Koala по имени пользователя (joekoala), который, как утверждается, контролирует ботов Telegram, получающих украденные данные.
Тем не менее, география жертв и артефакты вредоносного ПО указывают на потенциальные ссылки на другую хакерскую группу, отслеживаемую Cisco Talos под именем YoroTrooper (она же SturgeonPhisher).
"Основным инструментом группы является примитивный похититель, защита которого помогает избежать обнаружения, замедлить анализ, захватить все украденные данные и отправить их в Telegram, который с каждым годом набирает популярность у злоумышленников", - сказал исследователь безопасности Владислав Лунин.
Выводы также следуют за волной кампаний социальной инженерии, направленных на распространение семейств вредоносных программ, таких как FatalRAT и SolarMarker.
"Группа широко использовала стеганографию, отправляя VBS, код PowerShell, а также RTF-документы со встроенным эксплойтом внутри изображений и текстовых файлов", - говорится в отчете российской компании по кибербезопасности Positive Technologies, опубликованном в понедельник.
Кампания получила кодовое название SteganoAmor за использование стеганографии и выбор имен файлов, таких как greatloverstory.vbs и easytolove.vbs.
Большинство атак были нацелены на промышленность, сферу услуг, общественный сектор, электроэнергетику и строительство в странах Латинской Америки, хотя также были выделены компании, расположенные в России, Румынии и Турции.
Разработка происходит в связи с тем, что TA558 также была замечена в использовании Venom RAT посредством фишинговых атак, направленных на предприятия, расположенные в Испании, Мексике, Соединенных Штатах, Колумбии, Португалии, Бразилии, Доминиканской Республике и Аргентине.
Все начинается с фишингового электронного письма, содержащего заминированное вложение Microsoft Excel, которое использует исправленную брешь в системе безопасности в редакторе уравнений (CVE-2017-11882) для загрузки скрипта Visual Basic, который, в свою очередь, извлекает полезную нагрузку следующего этапа из paste[.]ee.
Скрытый вредоносный код обеспечивает загрузку двух изображений с внешнего URL-адреса, которые поставляются со встроенным компонентом в кодировке Base64, который в конечном итоге извлекает и запускает вредоносный агент Tesla на скомпрометированном хостинге.
Помимо Agent Tesla, другие варианты цепочки атак привели к появлению целого ряда вредоносных программ, таких как FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger и XWorm, которые предназначены для удаленного доступа, кражи данных и доставки вторичной полезной нагрузки.
Фишинговые электронные письма отправляются с законных, но скомпрометированных SMTP-серверов, чтобы придать сообщениям немного достоверности и свести к минимуму вероятность их блокировки почтовыми шлюзами. Кроме того, было обнаружено, что TA558 использует зараженные FTP-серверы для хранения украденных данных.
Раскрытие происходит на фоне серии фишинговых атак, направленных против правительственных организаций в России, Беларуси, Казахстане, Узбекистане, Кыргызстане, Таджикистане и Армении с помощью вредоносного ПО под названием LazyStealer для получения учетных данных из Google Chrome.
Positive Technologies отслеживает группу активности под именем Lazy Koala по имени пользователя (joekoala), который, как утверждается, контролирует ботов Telegram, получающих украденные данные.
Тем не менее, география жертв и артефакты вредоносного ПО указывают на потенциальные ссылки на другую хакерскую группу, отслеживаемую Cisco Talos под именем YoroTrooper (она же SturgeonPhisher).
"Основным инструментом группы является примитивный похититель, защита которого помогает избежать обнаружения, замедлить анализ, захватить все украденные данные и отправить их в Telegram, который с каждым годом набирает популярность у злоумышленников", - сказал исследователь безопасности Владислав Лунин.
Выводы также следуют за волной кампаний социальной инженерии, направленных на распространение семейств вредоносных программ, таких как FatalRAT и SolarMarker.
