聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
隐写术技术是指将数据隐藏在看似无害的文件中,使用户和安全产品无法检测。TA558活跃于2018年,因攻击全球酒店和旅游行业而为人所知,主要攻击的目标是拉美地区。
TA558 最新发动的攻击活动因大规模使用隐写术而被称为 “SteganoAmor”,而这起活动由 Positive Technologies 公司发现。研究人员在这次攻击中发现超过320次攻击,影响多种行业和国家。
这些攻击始于包含看似无害的文档附件(Excel 和 Word 文件)的恶意邮件,它利用的是CVE-2017-11882漏洞。该漏洞是微软 Office Equation Editor 漏洞,在2017年修复。这些邮件从受陷的SMTP服务器发送,目的是降低来自合法域的信息被拦截的概率。如果安装的是老旧版本的微软 Office,则该利用将从合法的“打开file.ee时粘贴”的服务下载一个VBS,随后该脚本被执行,提取包含一个基于64位编码 payload 的JPG。
该图片中包含的脚本中的 PowerShell 代码下载隐藏在文本文件中的最终payload,而该文本文件以反向 base64编码的可执行文件形式出现。Positive Technologies 公司观测到该攻击链的多种变体,传播多种恶意软件家族,包括:
AgentTesla:间谍软件,用作键盘记录器和凭据窃取器、捕获击键、系统剪贴板数据、截屏并提取其它敏感信息。
FormBook:信息窃取恶意软件从多种 web 浏览器中收割凭据、收集截屏、监控和记录键击并可根据所接收的命令下载和执行文件。
Remcos:恶意软件,可使攻击者远程管理受陷机器、执行命令、抓取按键,以及打开网络摄像头和麦克风进行监控。
LokiBot:信息窃取器,针对的数据包括用户名、密码和其它与很多常用应用相关的信息。
Guloader:下载器,用户传播第二阶段payload,通常为了躲避反病毒检测。
Snake Keylogger:数据窃取恶意软件,记录按键、收集系统剪贴板数据、捕获截屏并从web浏览器中收割凭据。
XWorm:可使攻击者远程控制受影响计算机的远程访问木马 (RAT)。
最终的 payload 和恶意脚本通常存储在合法的云服务如 Google Drive 中,利用它们的良好声誉来躲避被反病毒软件表计价。被盗信息被发送到受陷的用作命令和控制基础设施的合法 FTP 服务器中,使流量看起来是正常的。Positive Technologies 共发现320多起攻击,多数位于拉美国家,但其攻击范围延伸至全球。
TA558 的攻击链利用的是一个已存在7年的漏洞,这就使得防御 SteganoAmor 很轻松,因为将 Office 更新至最新版本可使这些攻击无效。可查看Positive Technologies 公司发布的报告,获取完整的 IoC。
周下载量近400万次的NPM流行包可遭劫持,可影响千余家组织机构
https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~