Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center . Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT . Пришли к вам с новым исследованием о… не самой новой хакерской группировке, но зато использующей уникальнейший метод сокрытия вредоноса да к тому же еще романтически настроенной . Но обо всем по порядку! Итак, мы выявили сотни атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla , FormBook , Remcos , Lokibot , Guloader , SnakeKeylogger , XWorm , NjRAT , EkipaRAT . Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга. Злоумышленники активно применяли технику стеганографии : зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом. Интересно, что большинство RTF-документов и VBS в изученных атаках имеют, например, такие названия: greatloverstory.vbs , easytolove.vbs , iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc . Все наименования связаны со словом «любовь» , поэтому мы и назвали эту операцию SteganoAmo r. Изучив все детали и существующие исследования, мы атрибутировали атаки: их совершала группировка TA558 . Ранее эксперты Proofpoint писали, что это небольшое сообщество, которое по крайней мере с 2018 года атакует компании с целью кражи денег. В зафиксированных случаях кибернападений группировка целилась в организации разных стран, несмотря на то что приоритетным регионом для нее является Латинская Америка. Полный отчет с детальным разбором всех цепочек атак вы можете прочитать в нашем блоге . Кстати, помните, как один знаменитый вирус наделал в свое время много шуму? Он немного связан с темой нашей статьи. Тому, кто первый ответит, что это за вирус и какие записи в реестре Windows он создавал, традиционный респект от команды PT ESC и подарок. Читать историю любви

https://habr.com/ru/companies/pt/articles/807393/

#расследование #кибергруппировки #вредоносное_по #фишинг #agent_tesla #цепочка_атаки_хакера #ftpсервер #smtpсервер #powershell #конкурс