আতিথেয়তা, হোটেল এবং ভ্রমণ সংস্থাগুলিকে লক্ষ্য করে আরেকটি হুমকি অভিনেতা গ্রীষ্মের ব্যস্ত ভ্রমণ মৌসুমে আবার আবির্ভূত হয়েছে: TA558 নামে একটি ছোট, আর্থিকভাবে অনুপ্রাণিত খেলোয়াড়।
প্রুফপয়েন্টের নতুন গবেষণা অনুসারে, গ্রুপটি 2018 সাল থেকে প্রায় ছিল কিন্তু এই বছর তাদের আক্রমণ বাড়াচ্ছে, ল্যাটিন আমেরিকায় অবস্থিত পর্তুগিজ এবং স্প্যানিশ ভাষাভাষীদের পাশাপাশি পশ্চিম ইউরোপ এবং উত্তর আমেরিকার লক্ষ্যবস্তুকে লক্ষ্য করে।
স্প্যানিশ, পর্তুগিজ, এবং মাঝে মাঝে ইংরেজি-ভাষার ইমেলগুলি ক্ষতিকারক সংযুক্তি বা URL বিতরণ করতে ব্যবসা-প্রাসঙ্গিক থিমগুলির সাথে রিজার্ভেশন-থিমযুক্ত লোভ ব্যবহার করে (যেমন হোটেল-রুম বুকিং)।
প্রুফপয়েন্ট গবেষকরা 15টি বিভিন্ন ম্যালওয়্যার পেলোড গণনা করেছেন, সবচেয়ে ঘন ঘন রিমোট এক্সেস ট্রোজান (RATs), যা রিকনেসান্স, ডেটা চুরি এবং ফলো-অন ম্যালওয়্যার বিতরণ সক্ষম করতে পারে।
এই ম্যালওয়্যার পরিবারগুলি মাঝে মাঝে কমান্ড-এন্ড-কন্ট্রোল (C2) ডোমেনের সাথে ওভারল্যাপ করে, যার মধ্যে Loda, Vjw0rm, AsyncRAT, এবং Revenge RAT সহ সবচেয়ে ঘন ঘন দেখা যায়।
প্রতিবেদনে ব্যাখ্যা করা হয়েছে যে সাম্প্রতিক বছরগুলিতে, TA558 কৌশল পরিবর্তন করেছে, ম্যালওয়্যার বিতরণ করতে URL এবং কন্টেইনার ফাইল ব্যবহার করা শুরু করেছে।
"TA558 2022 সালে আরও ঘন ঘন ইউআরএল ব্যবহার করা শুরু করেছে। 558 থেকে 27 পর্যন্ত মোট মাত্র পাঁচটি প্রচারণার তুলনায় TA2022 2018 সালে ইউআরএল সহ 2021টি প্রচারাভিযান পরিচালনা করেছে," রিপোর্ট অনুযায়ী. "সাধারণত, ইউআরএলগুলি কন্টেইনার ফাইল যেমন ISO বা জিপ ফাইল যাতে এক্সিকিউটেবল থাকে।"
প্রুফপয়েন্টের হুমকি গবেষণা এবং সনাক্তকরণের ভাইস প্রেসিডেন্ট শেরোড ডিগ্রিপো ব্যাখ্যা করেছেন যে এটি সম্ভবত মাইক্রোসফ্টের ঘোষণার প্রতিক্রিয়া হিসাবে যে এটি ডিফল্টরূপে ইন্টারনেট থেকে ডাউনলোড করা VBA ম্যাক্রোগুলিকে ব্লক করা শুরু করবে।
"এই অভিনেতা অনন্য যে তারা একই লোভ থিম, ভাষা এবং টার্গেটিং ব্যবহার করেছে যেহেতু 2018 সালে প্রুফপয়েন্ট তাদের প্রথম শনাক্ত করেছে," সে ডার্ক রিডিংকে বলে।
যাইহোক, তিনি উল্লেখ করেছেন যে তারা প্রায়শই কৌশল, কৌশল এবং পদ্ধতি (TTPs) পরিবর্তন করে এবং তাদের কার্যকলাপ চলাকালীন বিভিন্ন ম্যালওয়্যার পেলোড ব্যবহার করেছে।
"এটি পরামর্শ দেয় যে অভিনেতা সক্রিয়ভাবে পরিবর্তন করছেন এবং প্রতিক্রিয়া জানাচ্ছেন যা সবচেয়ে ভাল কাজ করে বা প্রাথমিক সংক্রমণ অর্জনে সবচেয়ে কার্যকর, কৌশল এবং ম্যালওয়্যার ব্যবহার করে যা বিভিন্ন হুমকি অভিনেতাদের দ্বারা ব্যাপকভাবে ব্যবহৃত হয়," সে বলে৷
তিনি হুমকি ল্যান্ডস্কেপের অনেক হুমকি অভিনেতার মতো ব্যাখ্যা করেছেন, TA558 ম্যালওয়্যার বিতরণ করতে অন্যান্য ফাইল টাইপ এবং URL ব্যবহার করার জন্য সংযুক্তিতে ম্যাক্রো থেকে দূরে সরে গেছে।
"সম্ভবত এই শিল্পগুলিকে লক্ষ্য করে অন্যান্য অভিনেতারা আমরা পূর্বে বর্ণিত একই কৌশলগুলি ব্যবহার করবে," সে বলে।
হুমকি অভিনেতাদের আছে ম্যাক্রো-সক্ষম নথি থেকে দূরে pivoted আইএসও এবং আরএআর সংযুক্তি এবং উইন্ডোজ শর্টকাট (এলএনকে) ফাইলের মতো কন্টেইনার ফাইলগুলি ক্রমবর্ধমানভাবে ব্যবহার করে ম্যালওয়্যার সরবরাহ করার জন্য বার্তাগুলির সাথে সরাসরি সংযুক্ত করা হয়েছে৷
DeGrippo বলেছেন যে এই বছর TA558 দ্বারা কার্যকলাপ বৃদ্ধি সাধারণভাবে ভ্রমণ/আতিথেয়তা শিল্পকে লক্ষ্য করে কার্যকলাপ বৃদ্ধির ইঙ্গিত দেয় না।
"তবে, এই শিল্পগুলির সংস্থাগুলিকে রিপোর্টে বর্ণিত TTPs সম্পর্কে সচেতন হওয়া উচিত, এবং নিশ্চিত করা উচিত যে কর্মীদের চিহ্নিত করা হলে ফিশিং প্রচেষ্টা চিহ্নিত করতে এবং রিপোর্ট করার জন্য প্রশিক্ষণ দেওয়া হয়," তিনি পরামর্শ দেন৷
থ্রেট অভিনেতা ক্রসশেয়ারে ভ্রমণ শিল্প
ভ্রমণ-সম্পর্কিত ওয়েবসাইটের বিরুদ্ধে আক্রমণ উঠতে শুরু করে কয়েক মাস আগে কোভিড-১৯ থেকে শিল্প পুনরুদ্ধার হওয়ার সাথে সাথে, পেরিমিটারএক্সের জুলাইয়ের একটি প্রতিবেদনে ইঙ্গিত করা হয়েছে, ইউরোপ এবং এশিয়ায় প্রতিযোগিতামূলক স্ক্র্যাপিং-বট অনুরোধ নাটকীয়ভাবে বৃদ্ধি পেয়েছে।
ট্রান্সইউনিয়নের মতে, করোনভাইরাস মহামারী ভাটা এবং ভোক্তারা বার্ষিক অবকাশের পরিকল্পনাগুলি পুনরায় শুরু করার দিকে নজর দিচ্ছে, প্রতারকরা আর্থিক পরিষেবা থেকে ভ্রমণ এবং অবসর শিল্পে তাদের প্রচেষ্টা পুনরায় ফোকাস করছে, ট্রান্সইউনিয়নের মতে সর্বশেষ ত্রৈমাসিক বিশ্লেষণ.
একাধিক সাইবার ক্রাইম গ্রুপকে এই বছর চুরি করা শংসাপত্র এবং ভ্রমণ-সম্পর্কিত ওয়েবসাইটগুলি থেকে সংগ্রহ করা অন্যান্য সংবেদনশীল ব্যক্তিগত তথ্য বিক্রি করতে দেখা গেছে, দূষিত অভিনেতাদের বিকশিত পদ্ধতি ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্যের উপর ঘনত্বের কারণে।
