SteganoAmor kampány
A Positive Technologies Expert Security Center kutatói világszerte több mint háromszáz támadást fedeztek fel, amelyeket magabiztosan a jól ismert TA558 csoportnak tulajdonítottak.
A ProofPoint kutatóinak eredeti leírása szerint a TA558 egy viszonylag kis létszámú, pénzügyi motivációjú kiberbűnözői csoport, amely főként latin-amerikai vendéglátó- és turisztikai szervezeteket támadott meg, de Észak-Amerikában és Nyugat-Európában is azonosították őket támadások mögött. A kutatók szerint a csoport legalább 2018 óta aktív.
A Positive Technologies által vizsgált támadásokban a csoport széleskörűen alkalmazta a steganográfiát: VBS-eket, PowerShell-kódot, valamint beágyazott exploitot tartalmazó RTF-dokumentumokat küldött képeken és szöveges fájlokon belül.
A támadások ártalmatlannak tűnő dokumentummellékleteket (Excel- és Word-fájlok) tartalmazó rosszindulatú e-mailekkel kezdődnek, amelyek kihasználják a CVE-2017-11882 hibát, a Microsoft Office Equation Editor 2017-ben javított, gyakran célzott sebezhetőségét. Az e-maileket kompromittált SMTP-kiszolgálókról küldik, hogy minimalizálják az üzenetek blokkolásának esélyét, mivel azok legitim tartományokból származnak. Ha a Microsoft Office egy régi verziója van telepítve, az exploit letölti a Visual Basic Script (VBS) parancsfájlt a legitim “beillesztés a fájl megnyitásakor. ee” szolgáltatásból. Ez a szkript ezután futtatásra kerül, hogy lekérjen egy képfájlt (JPG), amely egy base-64 kódolt hasznos terhet tartalmaz.
A Positive Technologies megosztotta az azonosításhoz szükséges IoC-kat is.