TA558 网络犯罪组织最近显着增加了其恶意活动,使用各种类型的恶意软件攻击世界各地的组织。Positive Technologies 安全中心的专家发现 该组织实施了 320 多次攻击。
TA558 组织使用复杂的感染链,包括 AgentTesla、FormBook、Remcos 等工具。这些黑客攻击的一个显着特征是使用隐写术——将恶意代码隐藏在图像和文本文件中。
这些攻击从包含利用 CVE-2017-11882 漏洞的 Microsoft Office 文档的网络钓鱼电子邮件开始。 该安全漏洞已于 2017 年修复,但由于存在大量未更新的 Microsoft Office 副本,它仍然是黑客的热门目标。
如果计算机上安装了过时版本的 Microsoft Office,该漏洞利用程序会下载 Visual Basic 脚本,该脚本又会下载嵌入恶意代码的图像。接下来,使用 PowerShell 从该图像中提取最终的恶意负载并执行。
值得注意的是,攻击中使用的文件和脚本往往具有与爱情主题相关的名称,例如“greatloverstory.vbs”、“easytolove.vbs”甚至“iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc”。这就是研究人员将该活动命名为“SteganoAmor”的原因。
攻击者经常使用 Google Drive 等合法云服务来存储恶意文件,这有助于他们避免被防病毒工具检测到。被盗信息的传输是通过受损的合法 FTP 和 SMTP 服务器进行的,这使得流量不那么可疑。
分析显示,网络犯罪分子的主要目标是来自拉丁美洲的组织,尽管北美和西欧也有攻击记录。受影响者包括各个经济部门的代表,包括政府机构和私营公司。
在所检查的一个案例中,攻击者发送了一封带有恶意附件的电子邮件,并将其伪装成 Excel 文档。通过打开该文件,用户会无意中运行一个宏来下载并执行 AgentTesla 恶意软件。该程序能够从浏览器、电子邮件客户端和远程访问系统窃取数据。
鉴于使用合法服务器来分发网络钓鱼和操作 C2 服务器,专家强烈建议组织仔细检查带有附件的电子邮件,即使它们来自知名组织或政府组织。
SteganoAmor 活动表明网络威胁正变得更加复杂且难以检测。定期更新防病毒程序并进行安全审核以及时识别和消除潜在威胁非常重要。
发表评论
您还未登录,请先登录。
登录