针对全球 320 个组织,新型隐写术攻击曝光

安全
TA558 黑客组织多次利用隐写术在图片中隐藏恶意代码,并向目标系统发送各种恶意软件工具。

近日,Positive Technologies 发现 TA558 黑客组织多次利用隐写术在图片中隐藏恶意代码,并向目标系统发送各种恶意软件工具。该活动因大量使用隐写术而被称为 "SteganoAmor"。研究人员在这次活动中共发现了 320 多起攻击,这些攻击影响到不同行业和国家。

每个国家的目标数

来源:Positive Technologies Positive Technologies

这种隐写术通常会将数据隐藏在看似无害的文件中,使其无法被用户和安全产品检测到。

TA558 是一个自 2018 年以来就一直活动频繁的黑客组织,该组织以针对全球酒店和旅游组织的攻击事件而闻名,其攻击目标主要集中在拉丁美洲。

SteganoAmor 攻击

攻击始于恶意电子邮件,其中包含看似无害的文档附件(Excel 和 Word 文件),这些附件利用了 CVE-2017-11882 漏洞,该漏洞是一种常见的 Microsoft Office 公式编辑器漏洞。

活动中使用的文件样本

来源:Positive Technologies 积极技术公司

这些电子邮件是从受感染的 SMTP 服务器发送的,为了尽量减少邮件被拦截的几率,所以黑客通常会利用合法域名发送。

如果安装了旧版本的 Microsoft Office,漏洞利用者就会从合法的 "打开文件时粘贴.ee "服务中下载一个 Visual Basic 脚本 (VBS)。然后执行该脚本,获取包含基 64 编码有效载荷的图像文件 (JPG)。

攻击中使用的隐写图像

来源:Positive Technologies Positive Technologies

图片中包含的脚本内的 PowerShell 代码会下载隐藏在文本文件中的最终有效载荷,其形式为反转的 base64 编码可执行文件。

文本文件中的恶意代码

来源:Positive Technologies Positive Technologies

目前,Positive Technologies 已观察到攻击链的多个变种,提供了各种恶意软件系列,包括:

  • AgentTesla 间谍软件:可用作键盘记录程序和凭证窃取程序,捕获键盘输入、系统剪贴板数据、截图和其他敏感信息。
  • FormBook 信息窃取恶意软件:可从各种网络浏览器获取凭证、收集屏幕截图、监控和记录按键操作,并可根据接收到的命令下载和执行文件。
  • Remcos :允许攻击者远程管理被入侵机器、执行命令、捕获击键、打开网络摄像头和麦克风进行监控的恶意软件。
  • LokiBot 信息窃取程序:目标数据包括用户名、密码以及与许多常用应用程序相关的其他信息。
  • Guloader :用于分发二级有效载荷的下载程序,通常打包以逃避杀毒软件的检测。
  • Snake Keylogger:数据窃取恶意软件,可记录键盘输入、收集系统剪贴板数据、捕获屏幕截图并从网络浏览器获取凭据。
  • XWorm 远程访问木马(RAT):让攻击者远程控制受感染的计算机。

最终有效载荷和恶意脚本通常会存储在合法的云服务(如 Google Drive)中,而这类比较知名的服务平台通常被认为是无害的,这样就能帮助他们更有效的躲避被反病毒工具标记。

随后,窃取的信息会被发送到被入侵的合法 FTP 服务器上,用作命令和控制 (C2) 基础设施,使流量看起来正常。

不过,由于 TA558 的攻击链中使用了一个长达七年的漏洞,所以只要用户将 Microsoft Office 更新到最新版本,那 SteganoAmor 攻击就会直接失效。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-06-17 16:50:25

2018-05-18 14:40:34

2020-09-18 11:19:03

恶意软件Linux网络攻击

2022-05-09 11:54:50

电信巨头T-Mobile网络攻击

2020-09-16 10:25:36

恶意软件Linux网络攻击

2023-08-18 11:29:56

2021-01-27 21:53:50

版权保护隐写

2024-09-03 09:14:25

2020-09-23 17:16:52

Python技术工具

2024-10-08 20:56:32

2020-10-28 10:46:52

Purple Fox攻

2024-05-24 11:39:49

2023-02-20 14:26:16

2022-02-09 10:24:22

APT组织网络攻击黑客

2022-06-09 12:23:26

数据泄露网络攻击

2021-02-04 20:57:19

显隐术版权字符

2024-06-05 13:22:12

2021-08-03 13:40:18

数字化

2022-01-02 07:05:10

网络攻击移动设备网络安全

2019-07-01 13:06:45

隐写术网络安全威胁
点赞
收藏

51CTO技术栈公众号