Positive Technologies
專門鎖定拉丁美洲旅館及旅遊業者的駭客組織TA558,前年大肆發動攻擊,當時我們曾報導COVID-19疫情趨緩引發爆發性出遊,而使得相關資安事故頻傳,事隔1年多,有研究人員發現該組織利用圖像隱碼術(Steganography)再度極積從事大規模攻擊行動的跡象。
資安業者Positive Technologies揭露名為SteganoAmor的攻擊行動,TA558透過看似無害的Excel或Word檔案電子郵件附件啟動攻擊鏈,其共通點是利用微軟Office方程式編輯器漏洞CVE-2017-11882(CVSS風險評分為7.8)。
若是使用者的電腦沒有修補上述漏洞,攻擊者就會設法在這些裝置觸發漏洞、下載Visual Basic指令碼(VBS),該指令碼會抓取特定的JPG檔案,並透過埋藏於其中的PowerShell程式碼,下載經Base64編碼處理的惡意酬載並還原,這些惡意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。
值得留意的是,為了避免資安系統察覺異狀,攻擊者不光是將惡意酬載及相關指令碼存放於Google Drive或其他合法的雲端服務,他們也挾持FTP伺服器及SMTP伺服器,來充當C2伺服器,而且,駭客綁架的SMTP伺服器,也會用於發動網路釣魚攻擊。
Positive Technologies研究人員指出,這波攻擊行動去年下半研究人員Ankit Anubhav揭露之後,資安業者Cyble、MetabaseQ皆公布相關調查結果,並指出受害者遍布拉丁美洲、美國、葡萄牙、西班牙,但他們發現,這起攻擊行動的範圍實際更為廣泛,超過30個國家出現受害者,對方總共發起至少320次攻擊。
受害者最多的國家依序是墨西哥、哥倫比亞、智利,而從產業類型來看,工業、服務業、公共服務部門受害者數量最多,但電力產業、營造業、交通運輸、運動產業也有受害者。
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15