SteganoAmor kampanja

AUTOR ·

SteganoAmor je nova kampanja od strane zlonamjernog aktera, grupe TA558, koristi steganografiju da sakrije zlonamjerni kôd unutar naizgled bezopasnih slika. Ova tehnika čini datoteke nevidljivim i omogućava napadačima da isporuče različite zlonamjerne alate na ciljane sisteme.

SteganoAmor

SteganoAmor kampanja; Source: Bing Image Creator

STEGANOAMOR KAMPANJA

SteganoAmor je zlonamjerna kampanja koju je razvila zloglasna hakerska grupa TA558, koja je u ovoj kampanji ciljala preko 320 organizacija širom sveta koristeći steganografiju. Ovaj metod napada uključuje sakrivanje zlonamjernih podataka unutar naizgled bezopasnih i nesumnjivih podataka, što ga čini gotovo nemogućim za otkrivanje konvencionalnim mjerama bezbjednosti.

U ovoj kampanji zlonamjerni akteri koriste slike kao nosioce zlonamjernog softvera. Oni ugrađuju zlonamjerne skripte unutar ovih slika, koje se zatim prilažu elektronskoj pošti. Otvaranje datoteke nenamjerno pokreće makro koji preuzima i izvršava zlonamjerni softver. Dakle, elektronska pošta koje šalje TA558 grupa može sadržati zlonamjerne priloge ili internet adrese koji distribuiraju jedan od najmanje petnaest različitih korisnih sadržaja zlonamjernog softvera, kao što su Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger, Xworm i mnogi drugi. Ovi korisni tereti su obično trojanci za udaljeni pristup (eng. remote access trojan – RAT), ali i drugi alati koji mogu omogućiti izviđanje, krađu podataka i distribuciju pratećih korisnih tovara.

Korišćenje legitimnih servera za phishing napade i kao servera za komandu i kontrolu (C2) čini izazovom za organizacije da otkriju ove napade. Stručnjaci snažno savjetuju pažljivu provjeru elektronske pošte sa prilozima, čak i onih koji potiču od poznatih ili vladinih organizacija.

 

Sakrivanje zlonamjernog kôda

Steganografija je stara tehnika koju koriste zlonamjerni akteri da sakriju zlonamjerni softver unutar naizgled bezopasnih datoteka poput slika ili dokumenata,  što otežava otkrivanje korisniku i bezbjednosnim proizvodima. Ovaj metod se sada koristi u kampanji SteganoAmor koju vodi zlonamjerni akter TA558.

Napadači koriste steganografiju da bi ugradili zlonamjerne skripte u slike koje su zatim priložene naizgled bezopasnim porukama elektronske pošte. Ove slike sadrže skriveni zlonamjerni kôd koji, kada se otvori ili stupi u interakciju sa njim, može da isporuči različite vrste zlonamjernog softvera na ciljane sisteme. Cilj je zaobići tradicionalne mjere zaštite i dobiti neovlašteni pristup osjetljivim informacijama ili kontrolu nad kompromitovanim sistemom.

Steganografija se koristi u sajber napadima nekoliko godina, ali je nedavno privukla značajnu pažnju zbog svoje efikasnosti u izbjegavanju otkrivanja. Važno je napomenuti da steganografski napadi mogu biti usmjeren na bilo koju vrstu organizacije, kao što se vidi u kampanji SteganoAmor u kojoj je više od 320 organizacija širom sveta ciljano u različitim industrijama i sektorima.

 

TA558 grupa

Hakerska grupa TA558 je mali, ali veoma aktivan zlonamjerni akter koji je operativan najmanje od aprila 2018. godine.  Ova grupa je postala poznata po tome što je koristila više varijanti zlonamjernog softvera u svojim napadima, uključujući Loda RAT, Vjw0rm i Revenge RAT. Primarni cilj grupe TA558 je da ukrade lične i finansijske podatke korisnika, izvrši bočno kretanje unutar mreža i isporuči dodatni korisni teret.

Meta ove grupe su pre svega portugalska i španska govorna područja, međutim stručnjaci za sajber bezbjednost su takođe primijetili napade usmjerene na entitete u zapadnoj Evropi i Sjevernoj Americi. Aktivnost grupe je značajno porasla 2022. godine, a lanac napada počinje od phishing kampanja.

Poznato je da grupa šalje Visual Basic Script – VBS datoteke, PowerShell  kôd, kao i RTF dokumente sa ugrađenom eksploatacijom unutar slika ili tekstualnih datoteka koje sadrže steganografski skriveni zlonamjerni softver. Upotreba steganografije kao tehnike zamagljivanja da bi sakrila svoj zlonamjerni softver unutar naizgled bezazlenih datoteka i poruka čini ovu grupu strašnim protivnikom u pogledu sajber bezbjednosti.

 

ZAKLJUČAK

SteganoAmor kampanja je značajna, jer pokazuje da zlonamjerni akteri stalno razvijaju svoje taktike, zbog čega je od suštinskog značaja za organizacije da budu u toku sa najnovijim obavještajnim i bezbjednosnim mjerama o prijetnjama. Upotreba steganografije u ciljanim napadima takođe naglašava važnost obuke zaposlenih i programa podizanja svesti kako bi se spriječilo da takvi napadi uspiju.

Uticaj uspješnog SteganoAmor napada može biti ozbiljan, što može dovesti do povrede podataka, finansijskih gubitaka, oštećenja reputacije i regulatornih kazni. Organizacije moraju dati prioritet sajber bezbjednosti primjenom robusnih bezbjednih mjera, redovnim ažuriranjem softvera, sprovođenjem redovnih bezbjednosnih revizija i pružanjem obuke zaposlenima o najnovijim informacijama o prijetnjama i najboljim praksama za očuvanje bezbjednosti na mreži.

 

ZAŠTITA

Kako bi ste zaštitili svoju organizaciju od potencijalnih SteganoAmor napada pomoću steganografije, neophodno je primijeniti višeslojni bezbjednosni pristup koji uključuje sljedeće mjere:

  1. Potrebno je konfigurisati filtere elektronske pošte i filtere neželjene pošte kako bi se spriječilo da zlonamjerna elektronska pošta sa ugrađenim slikama ili prilozima stigne u prijemno sanduče krajnjih korisnika. Koristiti napredna rješenja za otkrivanje prijetnji kao što su izolovana okruženja (eng. sandboxing) i algoritmi za mašinsko učenje za analizu dolazne elektronske pošte u potrazi za bilo kakvim sumnjivim aktivnostima, kao što su skrivene skripte ili kôd unutar datoteka slika,
  2. Obezbijediti da su sve radne stanice ažurirane najnovijim antivirusnim softverom i redovno ažurirati operativne sisteme i aplikacije. Podesiti alatke za zaštitu krajnjih tačaka da skeniraju priloge elektronske pošte u realnom vremenu i blokirati preuzimanje ili izvršavanje bilo kog potencijalno štetnog sadržaja na krajnjim tačkama,
  3. Potrebno je obučiti zaposlene o rizicima otvaranja sumnjivih elektronskih poruka, posebno onih koji sadrže slike ili priloge. Ohrabrite zaposlene da prijave sve neobične poruke elektronske pošte  ili poruke koje izgledaju neprikladno ili sadrže neočekivane datoteke slika,
  4. Koristiti riješenja za prevenciju gubitka podataka (eng. Data Loss Preventio – DLP) za nadgledanje i kontrolu pristupa podacima i sprečavanje neovlaštene eksfiltracije osjetljivih informacija iz mreže organizacije. Ovo može pomoći da se smanji uticaj ako je SteganoAmor napad bio uspješan u zaobilaženju drugih bezbjednih mjera,
  5. Zaštiti svoju mrežnu infrastrukturu zaštitnim zidovima, sistemima za otkrivanje upada (eng. intrusion detection systems – IDS) i sistemima za sprečavanje upada (eng. intrusion prevention systems – IPS) kako bi se spriječio neovlašteni pristup ili pokušaji eksfiltracije podataka. Redovno pregledati evidencije za bilo kakve neobične obrasce saobraćaja ili sumnjive aktivnosti koje bi mogle ukazati na potencijalni SteganoAmor napad,
  6. Potrebno je imati dobro definisan plan odgovora na sajber prijetnju, kako bi se brzo i efikasno riješili svi sumnjive situacije, pa i SteganoAmor napad. Ovo bi trebalo da uključuje korake kao što su izolovanje pogođenih sistema, obuzdavanje prijetnje, analiza obima štete i komunikacija sa zainteresovanim stranama o nastaloj situaciji,
  7. Vršiti redovne bezbjednosne revizije u cilju identifikovanja ranjivosti u IT infrastrukturi organizacije i adresirati sve slabosti koje bi napadači mogli da iskoriste koristeći steganografiju ili druge napredne tehnike. Ovo može pomoći da organizacija bude ispred novih prijetnji kao što je SteganoAmor i da organizacija uopšte održi jak položaj unutar definisanih parametara sajber bezbjednosti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.