駭客組織TA558發動攻擊行動SteganoAmor，透過Office方程式編輯器漏洞散布惡意軟體

專門鎖定拉丁美洲旅館及旅遊業者的駭客組織TA558，前年大肆發動攻擊，當時我們曾報導COVID-19疫情趨緩引發爆發性出遊，而使得相關資安事故頻傳，事隔1年多，有研究人員發現該組織利用圖像隱碼術（Steganography）再度極積從事大規模攻擊行動的跡象。

資安業者Positive Technologies揭露名為SteganoAmor的攻擊行動，TA558透過看似無害的Excel或Word檔案電子郵件附件啟動攻擊鏈，其共通點是利用微軟Office方程式編輯器漏洞CVE-2017-11882（CVSS風險評分為7.8）。

若是使用者的電腦沒有修補上述漏洞，攻擊者就會設法在這些裝置觸發漏洞、下載Visual Basic指令碼（VBS），該指令碼會抓取特定的JPG檔案，並透過埋藏於其中的PowerShell程式碼，下載經Base64編碼處理的惡意酬載並還原，這些惡意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。

值得留意的是，為了避免資安系統察覺異狀，攻擊者不光是將惡意酬載及相關指令碼存放於Google Drive或其他合法的雲端服務，他們也挾持FTP伺服器及SMTP伺服器，來充當C2伺服器，而且，駭客綁架的SMTP伺服器，也會用於發動網路釣魚攻擊。

Positive Technologies研究人員指出，這波攻擊行動去年下半研究人員Ankit Anubhav揭露之後，資安業者Cyble、MetabaseQ皆公布相關調查結果，並指出受害者遍布拉丁美洲、美國、葡萄牙、西班牙，但他們發現，這起攻擊行動的範圍實際更為廣泛，超過30個國家出現受害者，對方總共發起至少320次攻擊。

受害者最多的國家依序是墨西哥、哥倫比亞、智利，而從產業類型來看，工業、服務業、公共服務部門受害者數量最多，但電力產業、營造業、交通運輸、運動產業也有受害者。