Киберпреступная группировка TA558 в последнее время значительно усилила свою вредоносную активность, атакуя организации по всему миру с использованием различных видов зловредного ПО. Специалисты из Центра безопасности Positive Technologies обнаружилиболее 320 атак, осуществлённых этой группой.
Группировка TA558 использует сложные цепочки заражения, включающие такие инструменты, как AgentTesla, FormBook, Remcos и другие. Отличительной чертой атак этих хакеров является применение стеганографии – сокрытия вредоносного кода в изображениях и текстовых файлах.
Атаки начинаются с фишинговых электронных писем, содержащих документы Microsoft Office, которые используют уязвимость CVE-2017-11882. Данный недостаток безопасности был устранён ещё в 2017 году, однако до сих пор остаётся популярной целью для хакеров из-за наличия огромного множества необновлённых экземпляров Microsoft Office.
Если на компьютере установлена устаревшая версия Microsoft Office, эксплойт скачивает скрипт на Visual Basic, который, в свою очередь, загружает изображение с внедрённым вредоносным кодом. Далее, с помощью PowerShell, из этого изображения извлекается и выполняется финальная вредоносная нагрузка.
Примечательно, что документы и скрипты, использованные в атаках, часто имели названия, связанные с любовной тематикой, такие как “greatloverstory.vbs”, “easytolove.vbs” и даже “iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_
howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc”. Именно поэтому исследователи дали кампании назание “SteganoAmor”.
Для хранения вредоносных файлов злоумышленники часто используют легитимные облачные сервисы, такие как Google Drive, что помогает им избежать обнаружения антивирусными инструментами. Передача украденной информации осуществляется через скомпрометированные законные FTP- и SMTP-серверы, что делает трафик менее подозрительным.
Анализ показал, что основными целями киберпреступников стали организации из Латинской Америки, хотя атаки также зафиксированы в Северной Америке и Западной Европе. Среди пострадавших – представители различных экономических секторов, включая государственные учреждения и частные компании.
В одном из рассмотренных случаев злоумышленники отправили электронное письмо с вредоносным вложением, маскируя его под документ Excel. Открыв файл, пользователь невольно запускает макрос, который скачивает и выполняет вредоносное ПО AgentTesla. Эта программа способна красть данные из браузеров, почтовых клиентов и систем удалённого доступа.
Учитывая использование легитимных серверов для распространения фишинга и работы C2-серверов, специалисты настоятельно рекомендуют организациям внимательно проверять электронные письма с вложениями, даже если они приходят от известных или правительственных организаций.
Кампания SteganoAmor демонстрирует, что киберугрозы становятся всё более изощренными и труднообнаружимыми. Важно регулярно обновлять антивирусные программы и проводить аудиты безопасности для своевременного выявления и нейтрализации потенциальных угроз.