ステガノアモール攻撃作戦

TA558 ハッキンググループは、ステガノグラフィーを使用して画像内に有害なコードを埋め込む新たなキャンペーンを開始しました。この技術により、同グループはさまざまなマルウェアツールを特定のシステムに密かに配布し、ユーザーとセキュリティソフトウェアの両方による検出を回避できます。

TA558 は 2018 年以来、主に世界中のホテルや観光業を標的とし、特にラテンアメリカに重点を置き、大きな脅威をもたらしてきました。最近、サイバーセキュリティの専門家は「SteganoAmor」と呼ばれる最新の取り組みを発表し、ステガノグラフィーに大きく依存していることを強調しました。分析により、このキャンペーンに関連する 320 件を超える攻撃が明らかになり、さまざまな分野や国に影響を与えています。

ステガノアモールは詐欺メールの拡散から始まる

攻撃は、CVE-2017-11882 の脆弱性を悪用し、一見無害なドキュメント (通常は Excel または Word 形式) を添付した偽のメールから始まります。この欠陥は Microsoft Office 数式エディターに影響し、2017 年に修正されましたが、よく狙われます。これらのメールは、正当性を高め、ブロックされる可能性を減らすために、侵害された SMTP サーバーから送信されます。

Microsoft Office の古いバージョンが使用されている場合、このエクスプロイトは、正規の「file.ee を開いて貼り付ける」サービスから Visual Basic Script (VBS) のダウンロードをトリガーします。その後、このスクリプトが実行され、base-64 でエンコードされたペイロードを含む画像ファイル (JPG) が取得されます。画像に埋め込まれたスクリプト内では、PowerShell コードが、テキスト ファイル内に隠され、逆の base64 形式でエンコードされた最終ペイロードの取得を容易にします。

最終ペイロードとして展開された多数の有害な脅威

研究者は、攻撃チェーンの多数の反復を観察しており、それぞれが多様なマルウェア ファミリを導入しています。これらの中には、キーロギングと認証情報の盗難が可能なスパイウェアとして機能するAgentTesla 、認証情報の収集とリモート コマンドの実行に特化したFormBook 、リモート マシンの管理と監視を可能にするRemcos 、さまざまなアプリケーションの機密データをターゲットとするLokiBot 、セカンダリ ペイロードのダウンローダーとして機能するGulo a der 、キーストロークと認証情報をキャプチャするSnake Keylogger 、侵害されたコンピューターへのリモート アクセスを許可するXWormなどがあります。

最終的なペイロードと不正なスクリプトは、Google Drive などの評判の良いクラウド サービスに隠れて、その評判を利用してマルウェア対策の検出を逃れることがよくあります。収集された情報は、侵害された正規の FTP サーバーに送信され、トラフィックが正常であるように見せかけられます。320 件を超える攻撃が確認されており、主にラテンアメリカ諸国が対象となっていますが、標的の範囲は世界中に広がっています。

フィッシングはサイバー犯罪者の武器庫の中で依然として非常に強力なツールである

サイバー犯罪者がロシア、ベラルーシ、カザフスタン、ウズベキスタン、キルギスタン、タジキスタン、アルメニアの政府機関を狙って仕掛けた一連のフィッシング攻撃が、情報セキュリティ専門家によって明るみに出されました。これらの攻撃では、Google Chrome から認証情報を引き出すために特別に設計された LazyStealer というマルウェアが使用されています。研究者らは、盗まれたデータを受け取る Telegram ボットのコントローラーとされる人物にちなんで Lazy Koala と総称されるこの一連の攻撃を監視しています。

さらに、被害者の人口統計とマルウェアの特性を分析すると、YoroTrooper (別名 SturgeonPhisher) と呼ばれる別のハッキング グループとの潜在的なつながりが示唆されます。このグループが使用する主なツールは、検出を回避し、分析を妨害し、盗まれたすべてのデータを収集し、Telegram 経由で送信するための保護手段を使用する、基本的なスティーラーです。Telegram は、安全な通信手段として悪意のあるアクターにますます好まれています。