近日，Positive Technologies 發(fā)現(xiàn) TA558 黑客組織多次利用隱寫術(shù)在圖片中隱藏惡意代碼，并向目標(biāo)系統(tǒng)發(fā)送各種惡意軟件工具。該活動(dòng)因大量使用隱寫術(shù)而被稱為 "SteganoAmor"。研究人員在這次活動(dòng)中共發(fā)現(xiàn)了 320 多起攻擊，這些攻擊影響到不同行業(yè)和國家。

每個(gè)國家的目標(biāo)數(shù)

來源：Positive Technologies Positive Technologies

這種隱寫術(shù)通常會(huì)將數(shù)據(jù)隱藏在看似無害的文件中，使其無法被用戶和安全產(chǎn)品檢測(cè)到。

TA558 是一個(gè)自 2018 年以來就一直活動(dòng)頻繁的黑客組織，該組織以針對(duì)全球酒店和旅游組織的攻擊事件而聞名，其攻擊目標(biāo)主要集中在拉丁美洲。

SteganoAmor 攻擊

攻擊始于惡意電子郵件，其中包含看似無害的文檔附件（Excel 和 Word 文件），這些附件利用了 CVE-2017-11882 漏洞，該漏洞是一種常見的 Microsoft Office 公式編輯器漏洞。

活動(dòng)中使用的文件樣本

來源：Positive Technologies 積極技術(shù)公司

這些電子郵件是從受感染的 SMTP 服務(wù)器發(fā)送的，為了盡量減少郵件被攔截的幾率，所以黑客通常會(huì)利用合法域名發(fā)送。

如果安裝了舊版本的 Microsoft Office，漏洞利用者就會(huì)從合法的 "打開文件時(shí)粘貼.ee "服務(wù)中下載一個(gè) Visual Basic 腳本 (VBS)。然后執(zhí)行該腳本，獲取包含基 64 編碼有效載荷的圖像文件 (JPG)。

攻擊中使用的隱寫圖像

來源：Positive Technologies Positive Technologies

圖片中包含的腳本內(nèi)的 PowerShell 代碼會(huì)下載隱藏在文本文件中的最終有效載荷，其形式為反轉(zhuǎn)的 base64 編碼可執(zhí)行文件。

文本文件中的惡意代碼

來源：Positive Technologies Positive Technologies

目前，Positive Technologies 已觀察到攻擊鏈的多個(gè)變種，提供了各種惡意軟件系列，包括：

• AgentTesla 間諜軟件：可用作鍵盤記錄程序和憑證竊取程序，捕獲鍵盤輸入、系統(tǒng)剪貼板數(shù)據(jù)、截圖和其他敏感信息。
• FormBook 信息竊取惡意軟件：可從各種網(wǎng)絡(luò)瀏覽器獲取憑證、收集屏幕截圖、監(jiān)控和記錄按鍵操作，并可根據(jù)接收到的命令下載和執(zhí)行文件。
• Remcos ：允許攻擊者遠(yuǎn)程管理被入侵機(jī)器、執(zhí)行命令、捕獲擊鍵、打開網(wǎng)絡(luò)攝像頭和麥克風(fēng)進(jìn)行監(jiān)控的惡意軟件。
• LokiBot 信息竊取程序：目標(biāo)數(shù)據(jù)包括用戶名、密碼以及與許多常用應(yīng)用程序相關(guān)的其他信息。
• Guloader ：用于分發(fā)二級(jí)有效載荷的下載程序，通常打包以逃避殺毒軟件的檢測(cè)。
• Snake Keylogger：數(shù)據(jù)竊取惡意軟件，可記錄鍵盤輸入、收集系統(tǒng)剪貼板數(shù)據(jù)、捕獲屏幕截圖并從網(wǎng)絡(luò)瀏覽器獲取憑據(jù)。
• XWorm 遠(yuǎn)程訪問木馬（RAT）：讓攻擊者遠(yuǎn)程控制受感染的計(jì)算機(jī)。

最終有效載荷和惡意腳本通常會(huì)存儲(chǔ)在合法的云服務(wù)（如 Google Drive）中，而這類比較知名的服務(wù)平臺(tái)通常被認(rèn)為是無害的，這樣就能幫助他們更有效的躲避被反病毒工具標(biāo)記。

隨后，竊取的信息會(huì)被發(fā)送到被入侵的合法 FTP 服務(wù)器上，用作命令和控制 (C2) 基礎(chǔ)設(shè)施，使流量看起來正常。

不過，由于 TA558 的攻擊鏈中使用了一個(gè)長(zhǎng)達(dá)七年的漏洞，所以只要用戶將 Microsoft Office 更新到最新版本，那 SteganoAmor 攻擊就會(huì)直接失效。