针对全球 320 个组织,新型隐写术攻击曝光
内容提要
黑客组织TA558利用隐写术在图片中隐藏恶意代码,并向目标系统发送恶意软件工具。攻击始于恶意电子邮件,利用CVE-2017-11882漏洞下载恶意脚本。攻击链中使用的恶意软件包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger和XWorm。最终有效载荷和恶意脚本存储在合法的云服务中,信息被发送到入侵的FTP服务器上。更新Microsoft Office可防止此类攻击。
关键要点
-
黑客组织TA558利用隐写术在图片中隐藏恶意代码,攻击目标为不同行业和国家。
-
该活动被称为'SteganoAmor',自2018年以来频繁活动,主要针对拉丁美洲的酒店和旅游组织。
-
攻击始于恶意电子邮件,利用CVE-2017-11882漏洞下载恶意脚本。
-
黑客通过合法域名发送邮件,以减少被拦截的几率。
-
攻击中使用的恶意软件包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger和XWorm。
-
最终有效载荷和恶意脚本存储在合法云服务中,信息被发送到入侵的FTP服务器上。
-
更新Microsoft Office可防止此类攻击。
延伸问答
TA558黑客组织的攻击手法是什么?
TA558黑客组织利用隐写术在图片中隐藏恶意代码,通过恶意电子邮件传播恶意软件。
SteganoAmor攻击主要针对哪些行业?
SteganoAmor攻击主要针对全球的酒店和旅游组织,尤其集中在拉丁美洲。
CVE-2017-11882漏洞是如何被利用的?
该漏洞被利用于恶意电子邮件中的文档附件,下载恶意脚本并执行。
更新Microsoft Office能防止什么类型的攻击?
更新Microsoft Office可以防止利用CVE-2017-11882漏洞的SteganoAmor攻击。
TA558使用了哪些恶意软件?
TA558使用的恶意软件包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger和XWorm。
攻击链中信息是如何被窃取的?
窃取的信息通过合法的FTP服务器发送,利用云服务存储恶意脚本和有效载荷。