Группа TA558 использует стеганографию и атаковала 320 организаций по всему миру Новая кампания хак-группы TA558 получила название
SteganoAmor, так как хакеры используют стеганографию и скрывают вредоносный код внутри изображений. Специалисты Positive Technologies сообщают, что группировка использует длинные цепочки атаки, которые включают различные инструменты и
малварь, в том числе: Agent Tesla,
FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT.
Эксперты
Positive Technologies обнаружили атаки по всему миру, которые связывают с группировкой TA558. По изначальному описанию исследователей из
ProofPoint, TA558 — небольшая финансово-ориентированная группировка, которая с 2018 года атаковала гостиничные и
туристические организации в основном в Латинской Америке, но также была
замечена за атаками на североамериканский регион и Западную Европу.
В исследованных теперь атаках группа активно использовала
стеганографию: файлы полезной нагрузки
(в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплоитом) передавались внутри картинок и
текстовых файлов.
