TA558 hackleme grubu tarafından yapılan yeni bir kampanya, çeşitli kötü amaçlı yazılım araçlarını hedeflenen sistemlere sunmak için steganografi kullanarak görüntüler içindeki kötü amaçlı kodları gizliyor.
Steganografi, kullanıcılar ve güvenlik ürünleri tarafından tespit edilemez hale getirmek için görünüşte zararsız dosyaların içindeki verileri gizleme tekniğidir.
TA558, 2018'den beri dünya çapında misafirperverliği ve turizm örgütlerini hedeflediği ve Latin Amerika'ya odaklanmasıyla bilinen bir tehdit aktörüdür.
Steganografinin kapsamlı kullanımı nedeniyle "Steganoamor" olarak adlandırılan grubun son kampanyası, pozitif teknolojiler tarafından ortaya çıkarıldı. Araştırmacılar, bu kampanyada çeşitli sektörleri ve ülkeleri etkileyen 320'den fazla saldırı tespit ettiler.
Saldırılar, 2017'de sabit olarak belirlenen bir Microsoft Office denklem düzenleyicisi güvenlik açığı olan CVE-2017-11882 Kusurunu kullanan görünüşte zararsız belge ekleri (Excel ve Kelime dosyaları) içeren kötü niyetli e-postalarla başlar.
E -postalar, meşru alanlardan geldikçe mesajların bloke olma şansını en aza indirmek için tehlikeye atılan SMTP sunucularından gönderilir.
Microsoft Office'in eski bir sürümü yüklenirse, istismar dosyayı açtıktan sonra meşru 'macundan bir Visual Basic betiği (VBS) indirecektir. EE 'hizmet. Bu komut dosyası daha sonra Base-64 kodlu bir yük içeren bir görüntü dosyası (JPG) almak için yürütülür.
Resimde bulunan komut dosyası içindeki PowerShell kodu, bir metin dosyasının içine gizlenmiş son yükü tersine çevrilmiş bir baz 64 kodlu yürütülebilir şeklinde indirir.
Pozitif teknolojiler, saldırı zincirinin çeşitli varyantlarını gözlemledi ve aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yazılım aileleri sundu.
Son yükler ve kötü amaçlı komut dosyaları genellikle Google Drive gibi meşru bulut hizmetlerinde saklanır ve AV araçları tarafından işaretlenmek için iyi itibarlarından yararlanır.
Çalıntı bilgiler, trafiğin normal görünmesi için komut ve kontrol (C2) altyapısı olarak kullanılan tehlikeye atılmış meşru FTP sunucularına gönderilir.
Olumlu teknolojiler, çoğu Latin Amerika ülkelerine odaklanan 320'den fazla saldırı keşfetti, ancak hedefleme kapsamı dünya çapında uzanıyor.
TA558'in saldırı zincirinde yedi yıllık bir hata kullanmak, Microsoft Office'i daha yeni bir sürüme güncellemek bu saldırıları etkisiz hale getireceği için Steganoamor'a karşı savunmayı oldukça kolaylaştırıyor.
Raporun altında uzlaşma göstergelerinin (IOCS) tam bir listesi mevcuttur.
Firebird faresi yaratıcısı ve satıcı ABD ve Avustralya'da tutuklandı
CISA, "kötü amaçlı yazılım yeni nesil" analiz sistemini halka açık hale getiriyor
Apple: Paralı casus yazılım saldırıları 92 ülkede hedef iphone kullanıcıları
Chrome Enterprise premium güvenlik alır ancak bunun için ödeme yapmanız gerekir
Microsoft, kötü amaçlı yazılım saldırılarında sömürülen iki Windows sıfır gününü düzeltir
Kaynak: Bleeping Computer