TA558黑客组织利用隐写术将恶意代码隐藏在图像中的攻击活动

SteganoAmor攻击

TA558黑客组织的SteganoAmor攻击活动始于包含看似无害的文档附件的恶意电子邮件。这些附件利用Microsoft Office中的漏洞，并从一个合法服务下载一个Visual Basic脚本（VBS）。然后，脚本获取一个包含base-64编码有效载荷的图像文件（JPG）。在图像内部，PowerShell代码下载最终的有效载荷，该有效载荷以文本文件的形式隐藏，以反向的base64编码可执行文件。Positive Technologies观察到了这种攻击链的多个变体，传播了各种恶意软件家族。

多样化的恶意软件家族

SteganoAmor攻击活动传播了多种恶意软件家族，包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger和XWorm。AgentTesla是一种兼具键盘记录和凭证窃取功能的间谍软件，而FormBook是一种窃取凭证和收集屏幕截图的信息窃取器。Remcos允许远程管理被入侵的机器，而LokiBot则针对用户名、密码和其他有价值的信息。Guloader是用于分发次级有效载荷的下载器，Snake Keylogger记录按键和捕获屏幕截图，而XWorm是一种远程访问木马。

用于规避检测的策略

为了规避检测，SteganoAmor攻击活动采用了多种策略。最终的有效载荷和恶意脚本通常存储在像Google Drive这样的合法云服务中，利用其良好的声誉。被窃取的信息被发送到被入侵的合法FTP服务器，这些服务器作为命令和控制基础设施，使流量看起来正常。Positive Technologies已经发现了超过320次攻击，主要集中在拉丁美洲国家，但具有全球影响力。将Microsoft Office升级到更高版本可以有效防御这些攻击。

注意：完整的威胁指标（IoCs）清单可在报告底部找到。