针对全球 320 个组织,新型隐写术攻击曝光
2024-4-16 10:22:45 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1713234341_661de1a59ddc080ab655f.png!small?1713234341376

近日,Positive Technologies 发现 TA558 黑客组织多次利用隐写术在图片中隐藏恶意代码,并向目标系统发送各种恶意软件工具。该活动因大量使用隐写术而被称为 "SteganoAmor"。研究人员在这次活动中共发现了 320 多起攻击,这些攻击影响到不同行业和国家。

victims.png

每个国家的目标数
来源:Positive Technologies Positive Technologies

这种隐写术通常会将数据隐藏在看似无害的文件中,使其无法被用户和安全产品检测到。

TA558 是一个自 2018 年以来就一直活动频繁的黑客组织,该组织以针对全球酒店和旅游组织的攻击事件而闻名,其攻击目标主要集中在拉丁美洲。

SteganoAmor 攻击

攻击始于恶意电子邮件,其中包含看似无害的文档附件(Excel 和 Word 文件),这些附件利用了 CVE-2017-11882 漏洞,该漏洞是一种常见的 Microsoft Office 公式编辑器漏洞。

doc.png

活动中使用的文件样本
来源:Positive Technologies 积极技术公司

这些电子邮件是从受感染的 SMTP 服务器发送的,为了尽量减少邮件被拦截的几率,所以黑客通常会利用合法域名发送。

如果安装了旧版本的 Microsoft Office,漏洞利用者就会从合法的 "打开文件时粘贴.ee "服务中下载一个 Visual Basic 脚本 (VBS)。然后执行该脚本,获取包含基 64 编码有效载荷的图像文件 (JPG)。

stego-image.png

攻击中使用的隐写图像
来源:Positive Technologies Positive Technologies

图片中包含的脚本内的 PowerShell 代码会下载隐藏在文本文件中的最终有效载荷,其形式为反转的 base64 编码可执行文件。

text-payload.png

文本文件中的恶意代码
来源:Positive Technologies Positive Technologies

目前,Positive Technologies 已观察到攻击链的多个变种,提供了各种恶意软件系列,包括:

  • AgentTesla 间谍软件:可用作键盘记录程序和凭证窃取程序,捕获键盘输入、系统剪贴板数据、截图和其他敏感信息。
  • FormBook 信息窃取恶意软件:可从各种网络浏览器获取凭证、收集屏幕截图、监控和记录按键操作,并可根据接收到的命令下载和执行文件。
  • Remcos :允许攻击者远程管理被入侵机器、执行命令、捕获击键、打开网络摄像头和麦克风进行监控的恶意软件。
  • LokiBot 信息窃取程序:目标数据包括用户名、密码以及与许多常用应用程序相关的其他信息。
  • Guloader :用于分发二级有效载荷的下载程序,通常打包以逃避杀毒软件的检测。
  • Snake Keylogger:数据窃取恶意软件,可记录键盘输入、收集系统剪贴板数据、捕获屏幕截图并从网络浏览器获取凭据。
  • XWorm 远程访问木马(RAT):让攻击者远程控制受感染的计算机。

最终有效载荷和恶意脚本通常会存储在合法的云服务(如 Google Drive)中,而这类比较知名的服务平台通常被认为是无害的,这样就能帮助他们更有效的躲避被反病毒工具标记。

随后,窃取的信息会被发送到被入侵的合法 FTP 服务器上,用作命令和控制 (C2) 基础设施,使流量看起来正常。

不过,由于 TA558 的攻击链中使用了一个长达七年的漏洞,所以只要用户将 Microsoft Office 更新到最新版本,那 SteganoAmor 攻击就会直接失效。

参考来源:New SteganoAmor attacks use steganography to target 320 orgs globally (bleepingcomputer.com)

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/398051.html
如有侵权请联系:admin#unsafe.sh