专门锁定拉丁美洲旅馆及旅游业者的骇客组织TA558，前年大肆发动攻击，当时我们曾报导COVID-19疫情趋缓引发爆发性出游，而使得相关资安事故频传，事隔1年多，有研究人员发现该组织利用图像隐码术（Steganography）再度极积从事大规模攻击行动的迹象。

资安业者Positive Technologies揭露名为SteganoAmor的攻击行动，TA558透过看似无害的Excel或Word档案电子邮件附件启动攻击链，其共通点是利用微软Office方程式编辑器漏洞CVE-2017-11882（CVSS风险评分为7.8）。

若是使用者的电脑没有修补上述漏洞，攻击者就会触发漏洞下载Visual Basic指令码（VBS），该指令码会抓取特定的JPG档案，并透过埋藏于其中的PowerShell程式码，下载经Base64编码处理的恶意酬载并还原，这些恶意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。

值得留意的是，为了避免资安系统察觉异状，攻击者不光是将恶意酬载及相关指令码存放于Google Drive或其他合法的云端服务，他们也挟持FTP伺服器及SMTP伺服器，来充当C2伺服器，而这些骇客也将SMTP伺服器用于最初的网路钓鱼攻击。

Positive Technologies研究人员指出，这波攻击行动去年下半研究人员Ankit Anubhav揭露之后，资安业者Cyble、MetabaseQ皆公布相关调查结果，并指出受害者遍布拉丁美洲、美国、葡萄牙、西班牙，但他们发现，这起攻击行动的范围实际更为广泛，超过30个国家出现受害者，对方总共发起至少320次攻击。

受害者最多的国家依序是墨西哥、哥伦比亚、智利，而从产业类型来看，工业、服务业、公共服务部门受害者数量最多，但电力产业、营造业、交通运输、运动产业也有受害者。