近日 
，针对织新Positive Technologies 发现 TA558 黑客组织多次利用隐写术在图片中隐藏恶意代码 ，全球并向目标系统发送各种恶意软件工具 。个组攻击该活动因大量使用隐写术而被称为 "SteganoAmor"。型隐写术研究人员在这次活动中共发现了 320 多起攻击，曝光这些攻击影响到不同行业和国家。针对织新

每个国家的全球目标数

来源：Positive Technologies Positive Technologies

这种隐写术通常会将数据隐藏在看似无害的文件中，使其无法被用户和安全产品检测到 。个组攻击

TA558 是型隐写术一个自 2018 年以来就一直活动频繁的黑客组织，该组织以针对全球酒店和旅游组织的曝光攻击事件而闻名，其攻击目标主要集中在拉丁美洲。针对织新

攻击始于恶意电子邮件 ，建站模板全球其中包含看似无害的个组攻击文档附件（Excel 和 Word 文件） ，这些附件利用了 CVE-2017-11882 漏洞 ，型隐写术该漏洞是曝光一种常见的 Microsoft Office 公式编辑器漏洞。

活动中使用的文件样本

来源 ：Positive Technologies 积极技术公司

这些电子邮件是从受感染的 SMTP 服务器发送的，为了尽量减少邮件被拦截的几率
，所以黑客通常会利用合法域名发送。

如果安装了旧版本的 Microsoft Office，源码库漏洞利用者就会从合法的 "打开文件时粘贴.ee "服务中下载一个 Visual Basic 脚本 (VBS)。然后执行该脚本 ，获取包含基 64 编码有效载荷的图像文件 (JPG) 。

攻击中使用的隐写图像

来源：Positive Technologies Positive Technologies

图片中包含的脚本内的 PowerShell 代码会下载隐藏在文本文件中的最终有效载荷，其形式为反转的 base64 编码可执行文件。

文本文件中的恶意代码

来源
：Positive Technologies Positive Technologies

目前，Positive Technologies 已观察到攻击链的多个变种
，高防服务器提供了各种恶意软件系列
，包括：

最终有效载荷和恶意脚本通常会存储在合法的云服务（如 Google Drive）中，而这类比较知名的服务平台通常被认为是云计算无害的，这样就能帮助他们更有效的躲避被反病毒工具标记。

随后 ，窃取的信息会被发送到被入侵的合法 FTP 服务器上 ，用作命令和控制 (C2) 基础设施，使流量看起来正常。

不过 ，由于 TA558 的攻击链中使用了一个长达七年的漏洞 ，所以只要用户将 Microsoft Office 更新到最新版本，那 SteganoAmor 攻击就会直接失效。源码下载