HACKING

SteganoAmor: Νέες επιθέσεις με χρήση στεγανογραφίας

This post was originally published on this site

Οι hackers TA558 πραγματοποιούν επιθέσεις (SteganoAmor), αποκρύπτοντας κακόβουλο κώδικα μέσα σε εικόνες, μέσω στεγανογραφίας. Στόχος είναι η παράδοση διαφόρων εργαλείων κακόβουλου λογισμικού σε στοχευμένα συστήματα.

Η στεγανογραφία είναι η τεχνική της απόκρυψης δεδομένων μέσα σε φαινομενικά αβλαβή αρχεία.

Οι hackers TA558 είναι ενεργοί από το 2018 και στοχεύουν συνήθως εταιρείες που ασχολούνται με τη φιλοξενία και τον τουρισμό. Αν και έχουν πραγματοποιήσει επιθέσεις σε όλο τον κόσμο, επικεντρώνονται στη Λατινική Αμερική.

Δείτε επίσης: Οι hackers MuddyWater υιοθετούν το νέο εργαλείο DarkBeatC2

Οι πρόσφατες επιθέσεις, που έχουν ονομαστεί “SteganoAmor” λόγω της εκτεταμένης χρήσης της στεγανογραφίας, αποκαλύφθηκαν από την Positive Technologies. Οι ερευνητές εντόπισαν περισσότερες από 320 επιθέσεις που επηρέασαν διάφορους τομείς και χώρες.

Επιθέσεις SteganoAmor

Οι επιθέσεις SteganoAmor ξεκινούν με phishing email που περιέχουν φαινομενικά αβλαβή συνημμένα (αρχεία Excel και Word). Εκμεταλλεύονται την ευπάθεια CVE-2017-11882, που στοχεύει συνήθως το Microsoft Office Equation Editor.

Τα email αποστέλλονται από παραβιασμένους διακομιστές SMTP. Προέρχονται από νόμιμα domains και έτσι είναι πιο πιθανό να περάσουν στο Inbox των θυμάτων.

Εάν ο στόχος έχει εγκατεστημένη μια παλιά έκδοση του Microsoft Office, το exploit θα πραγματοποιήσει λήψη ενός Visual Basic Script (VBS) από τη νόμιμη υπηρεσία ‘paste upon opening the file. ee‘. Αυτό το script εκτελείται για την ανάκτηση ενός αρχείου εικόνας (JPG), που περιέχει ένα κωδικοποιημένο payload.

Ο κώδικας PowerShell μέσα στο script, που περιέχεται στην εικόνα, πραγματοποιεί λήψη του τελικού malware payload που είναι κρυμμένο μέσα σε ένα αρχείο κειμένου με τη μορφή ενός εκτελέσιμου αρχείου.

Δείτε επίσης: LastPass: Hackers υποδύθηκαν τον CEO μέσω deepfake για να ξεγελάσουν υπάλληλο

Η Positive Technologies έχει παρατηρήσει ότι μέσω των επιθέσεων SteganoAmor, διανέμονται διάφορα malware: AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger, XWorm. Τα περισσότερα από αυτά τα malware συλλέγουν ευαίσθητες πληροφορίες από τα συστήματα, καταγράφουν πληκτρολογήσεις και προσφέρουν απομακρυσμένο έλεγχο στις συσκευές-στόχους.

Τα τελικά payload και τα κακόβουλα scripts αποθηκεύονται συχνά σε νόμιμες υπηρεσίες cloud όπως το Google Drive, για να αποφύγουν την επισήμανση από τα εργαλεία AV.

Οι κλεμμένες πληροφορίες αποστέλλονται σε παραβιασμένους νόμιμους διακομιστές FTP, που χρησιμοποιούνται ως υποδομή command and control (C2).

Η Positive Technologies ανακάλυψε περισσότερες από 320 επιθέσεις SteganoAmor, οι περισσότερες επικεντρωμένες σε χώρες της Λατινικής Αμερικής.

Η χρήση ενός σφάλματος επτά ετών στην αλυσίδα επιθέσεων της ομάδας TA558 καθιστά αρκετά εύκολη την άμυνα ενάντια στις επιθέσεις SteganoAmor, καθώς η ενημέρωση του Microsoft Office σε μια πιο πρόσφατη έκδοση θα καθιστούσε αυτές τις επιθέσεις αναποτελεσματικές.

στεγανογραφία hackers

Πώς να προστατευτούν οι χρήστες από τέτοιες επιθέσεις;

Πρώτον, οι χρήστες πρέπει να διατηρούν το λογισμικό τους ενημερωμένο. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν το σύστημά τους από τις πιο πρόσφατες απειλές.

Δεύτερον, είναι σημαντικό να χρησιμοποιούν ένα αξιόπιστο πρόγραμμα antivirus. Αυτό μπορεί να βοηθήσει στην ανίχνευση και την απομάκρυνση κακόβουλου λογισμικού πριν προκαλέσει ζημιά.

Δείτε επίσης: Οι hackers TA547 στοχεύουν τη Γερμανία με το Rhadamanthys malware

Τρίτον, πρέπει να είναι προσεκτικοί με τα email και τα μηνύματα που λαμβάνουν. Πολλές φορές, οι επιθέσεις αυτού του είδους ξεκινούν με ένα φαινομενικά αθώο email ή μήνυμα που περιέχει κρυμμένο κακόβουλο λογισμικό.

Τέλος, είναι καλή ιδέα να χρησιμοποιούν εργαλεία που μπορούν να ανιχνεύσουν τη στεγανογραφία. Αυτά τα εργαλεία μπορούν να βοηθήσουν στην ανίχνευση των κρυμμένων κακόβουλων κωδίκων που ενδέχεται να είναι κρυμμένοι μέσα σε εικόνες.

Πηγή: www.bleepingcomputer.com

https://www.secnews.gr/security/

%d bloggers like this: