近日，Positive Technologies 發(fā)現(xiàn) TA558 黑客組織多次利用隱寫術(shù)在圖片中隱藏惡意代碼，并向目標(biāo)系統(tǒng)發(fā)送各種惡意軟件工具。該活動因大量使用隱寫術(shù)而被稱為 "SteganoAmor"。研究人員在這次活動中共發(fā)現(xiàn)了 320 多起攻擊，這些攻擊影響到不同行業(yè)和國家。

每個國家的目標(biāo)數(shù)

來源：Positive Technologies Positive Technologies

這種隱寫術(shù)通常會將數(shù)據(jù)隱藏在看似無害的文件中，使其無法被用戶和安全產(chǎn)品檢測到。

TA558 是一個自 2018 年以來就一直活動頻繁的黑客組織，該組織以針對全球酒店和旅游組織的攻擊事件而聞名，其攻擊目標(biāo)主要集中在拉丁美洲。

SteganoAmor 攻擊

攻擊始于惡意電子郵件，其中包含看似無害的文檔附件（Excel 和 Word 文件），這些附件利用了 CVE-2017-11882 漏洞，該漏洞是一種常見的 Microsoft Office 公式編輯器漏洞。

活動中使用的文件樣本

來源：Positive Technologies 積極技術(shù)公司

這些電子郵件是從受感染的 SMTP 服務(wù)器發(fā)送的，為了盡量減少郵件被攔截的幾率，所以黑客通常會利用合法域名發(fā)送。

如果安裝了舊版本的 Microsoft Office，漏洞利用者就會從合法的 "打開文件時粘貼.ee "服務(wù)中下載一個 Visual Basic 腳本 (VBS)。然后執(zhí)行該腳本，獲取包含基 64 編碼有效載荷的圖像文件 (JPG)。

攻擊中使用的隱寫圖像

來源：Positive Technologies Positive Technologies

圖片中包含的腳本內(nèi)的 PowerShell 代碼會下載隱藏在文本文件中的最終有效載荷，其形式為反轉(zhuǎn)的 base64 編碼可執(zhí)行文件。

文本文件中的惡意代碼

來源：Positive Technologies Positive Technologies

目前，Positive Technologies 已觀察到攻擊鏈的多個變種，提供了各種惡意軟件系列，包括：

• AgentTesla 間諜軟件：可用作鍵盤記錄程序和憑證竊取程序，捕獲鍵盤輸入、系統(tǒng)剪貼板數(shù)據(jù)、截圖和其他敏感信息。
• FormBook 信息竊取惡意軟件：可從各種網(wǎng)絡(luò)瀏覽器獲取憑證、收集屏幕截圖、監(jiān)控和記錄按鍵操作，并可根據(jù)接收到的命令下載和執(zhí)行文件。
• Remcos ：允許攻擊者遠(yuǎn)程管理被入侵機(jī)器、執(zhí)行命令、捕獲擊鍵、打開網(wǎng)絡(luò)攝像頭和麥克風(fēng)進(jìn)行監(jiān)控的惡意軟件。
• LokiBot 信息竊取程序：目標(biāo)數(shù)據(jù)包括用戶名、密碼以及與許多常用應(yīng)用程序相關(guān)的其他信息。
• Guloader ：用于分發(fā)二級有效載荷的下載程序，通常打包以逃避殺毒軟件的檢測。
• Snake Keylogger：數(shù)據(jù)竊取惡意軟件，可記錄鍵盤輸入、收集系統(tǒng)剪貼板數(shù)據(jù)、捕獲屏幕截圖并從網(wǎng)絡(luò)瀏覽器獲取憑據(jù)。
• XWorm 遠(yuǎn)程訪問木馬（RAT）：讓攻擊者遠(yuǎn)程控制受感染的計算機(jī)。

最終有效載荷和惡意腳本通常會存儲在合法的云服務(wù)（如 Google Drive）中，而這類比較知名的服務(wù)平臺通常被認(rèn)為是無害的，這樣就能幫助他們更有效的躲避被反病毒工具標(biāo)記。

隨后，竊取的信息會被發(fā)送到被入侵的合法 FTP 服務(wù)器上，用作命令和控制 (C2) 基礎(chǔ)設(shè)施，使流量看起來正常。

不過，由于 TA558 的攻擊鏈中使用了一個長達(dá)七年的漏洞，所以只要用戶將 Microsoft Office 更新到最新版本，那 SteganoAmor 攻擊就會直接失效。