Хакеры TA558 атаковали 320 организаций с помощью стеганографии

Киберпреступная группа TA558 запустила новую волну атак, в которых вредоносный код скрывается в графических изображениях (стеганография). Эта кампания известна под названием «SteganoAmor».

Стеганография — очень популярный метод среди хорошо подготовленных киберпреступников. С помощью этой техники злоумышленники могут прятать данные в безобидных на первый взгляд файлах.

При правильной реализации злоумышленники могут усыпить бдительность целевых пользователей, а также установленного защитного программного обеспечения.

TA558 активна с 2018 года, и члены этой группы известны своими атаками на организации, занимающиеся путешествиями и туризмом. Последняя кампания, на которую обратили внимание эксперты Positive Technologies, связана с использованием стеганографии.

Исследователи зафиксировали более 320 новых кибератак, затрагивающих компании по всему миру.

Все начинается с электронного письма, содержащего вложение в формате Excel или Word. После активации этого вложения вредоносный документ пытается использовать уязвимость с идентификатором CVE-2017-11882. Это старая уязвимость, которая позволяет выполнить вредоносный код без участия пользователя.

Напоминаем о важности своевременной установки обновлений программного обеспечения, так как Microsoft выпустила соответствующий патч в 2017 году. Сам вредоносный документ, который появляется в SteganoAmor, выглядит следующим образом:

Чтобы снизить риск перехвата отправленных писем, злоумышленники использовали скомпрометированный SMTP-сервер. Если на атакуемом компьютере не установлен патч CVE-2017-11882, эксплойт загружает скрипт Visual Basic Script (VBS), а тот получает JPG-изображение со встроенным зашифрованным Base-64 полезным грузом.

Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.