Summertime Blues: Το TA558 αυξάνει τις επιθέσεις στη φιλοξενία, τους τομείς ταξιδιών

Ένας άλλος παράγοντας απειλής που στοχεύει στη φιλοξενία, τα ξενοδοχεία και τους ταξιδιωτικούς οργανισμούς επανεμφανίστηκε κατά τη διάρκεια της πολυάσχολης καλοκαιρινής ταξιδιωτικής περιόδου: ένας μικρότερος παίκτης με οικονομικά κίνητρα ονόματι TA558.

Σύμφωνα με νέα έρευνα από την Proofpoint, η ομάδα υπάρχει από το 2018, αλλά εντείνει τις επιθέσεις της φέτος, στοχεύοντας πορτογαλόφωνους και ισπανόφωνους που βρίσκονται στη Λατινική Αμερική, καθώς και στόχους στη δυτική Ευρώπη και τη Βόρεια Αμερική.

Τα ισπανικά, τα πορτογαλικά και περιστασιακά μηνύματα ηλεκτρονικού ταχυδρομείου στα αγγλικά χρησιμοποιούν θέλγητρα με θέμα τις κρατήσεις με θέματα σχετικά με τις επιχειρήσεις (όπως κρατήσεις δωματίων σε ξενοδοχεία) για τη διανομή κακόβουλων συνημμένων ή διευθύνσεων URL.

Οι ερευνητές του Proofpoint έχουν μετρήσει 15 διαφορετικά ωφέλιμα φορτία κακόβουλου λογισμικού, τα πιο συχνά Trojans απομακρυσμένης πρόσβασης (RAT), που μπορούν να επιτρέψουν την αναγνώριση, την κλοπή δεδομένων και τη διανομή επακόλουθου κακόβουλου λογισμικού.

Αυτές οι οικογένειες κακόβουλου λογισμικού περιστασιακά αλληλεπικαλύπτονται με τομείς εντολών και ελέγχου (C2), με τα πιο συχνά παρατηρούμενα ωφέλιμα φορτία όπως τα Loda, Vjw0rm, AsyncRAT και Revenge RAT.

Η έκθεση εξηγεί ότι τα τελευταία χρόνια, το TA558 έχει αλλάξει τακτική, αρχίζοντας να χρησιμοποιεί διευθύνσεις URL και αρχεία κοντέινερ για τη διανομή κακόβουλου λογισμικού.

"Το TA558 άρχισε να χρησιμοποιεί URL πιο συχνά το 2022. Το TA558 πραγματοποίησε 27 καμπάνιες με URL το 2022, σε σύγκριση με μόλις πέντε καμπάνιες συνολικά από το 2018 έως το 2021." σύμφωνα με την έκθεση. "Συνήθως, οι διευθύνσεις URL οδηγούσαν σε αρχεία κοντέινερ, όπως ISO ή αρχεία zip που περιέχουν εκτελέσιμα."

Ο Sherrod DeGrippo, αντιπρόεδρος έρευνας και ανίχνευσης απειλών στο Proofpoint, εξηγεί ότι αυτό είναι πιθανό ως απάντηση στην ανακοίνωση της Microsoft ότι θα αρχίσει να αποκλείει τις μακροεντολές VBA που έχουν ληφθεί από το Διαδίκτυο από προεπιλογή.

«Αυτός ο ηθοποιός είναι μοναδικός στο ότι έχει χρησιμοποιήσει τα ίδια θέματα, γλώσσα και στόχευση από τότε που η Proofpoint τους αναγνώρισε για πρώτη φορά το 2018», λέει στο Dark Reading.

Ωστόσο, επισημαίνει ότι συχνά αλλάζουν τακτικές, τεχνικές και διαδικασίες (TTP) και έχουν χρησιμοποιήσει διαφορετικά φορτία κακόβουλου λογισμικού κατά τη διάρκεια της δραστηριότητάς τους.

«Αυτό υποδηλώνει ότι ο ηθοποιός αλλάζει ενεργά και ανταποκρίνεται σε αυτό που λειτουργεί καλύτερα ή είναι πιο αποτελεσματικό για την επίτευξη αρχικής μόλυνσης, χρησιμοποιώντας τακτικές και κακόβουλο λογισμικό που χρησιμοποιούνται ευρέως από διάφορους παράγοντες απειλών», λέει.

Εξηγεί, όπως πολλοί παράγοντες απειλών στο τοπίο απειλών, το TA558 έχει απομακρυνθεί από τις μακροεντολές στα συνημμένα στη χρήση άλλων τύπων αρχείων και διευθύνσεων URL για τη διανομή κακόβουλου λογισμικού.

«Είναι πιθανό ότι άλλοι παράγοντες που στοχεύουν αυτές τις βιομηχανίες θα χρησιμοποιήσουν παρόμοιες τεχνικές που περιγράψαμε προηγουμένως», λέει.

Απειλή έχουν οι ηθοποιοί απομακρυνθεί από έγγραφα με δυνατότητα μακροεντολής συνδέεται απευθείας σε μηνύματα για την παράδοση κακόβουλου λογισμικού, χρησιμοποιώντας όλο και περισσότερο αρχεία κοντέινερ όπως συνημμένα ISO και RAR και αρχεία συντομεύσεων των Windows (LNK).

Ο DeGrippo λέει ότι η αύξηση της δραστηριότητας κατά το TA558 φέτος δεν είναι ενδεικτική της αύξησης της δραστηριότητας που στοχεύει γενικά τις βιομηχανίες ταξιδιών/ξενοδοχείων.

«Ωστόσο, οι οργανισμοί σε αυτούς τους κλάδους θα πρέπει να γνωρίζουν τα TTP που περιγράφονται στην έκθεση και να διασφαλίζουν ότι οι εργαζόμενοι είναι εκπαιδευμένοι να εντοπίζουν και να αναφέρουν απόπειρες phishing όταν εντοπίζονται», συμβουλεύει.

Η Ταξιδιωτική Βιομηχανία στο σταυροδρόμι του Threat Actor

Επιθέσεις σε ιστότοπους που σχετίζονται με ταξίδια άρχισε να ανεβαίνει πριν από μήνες, καθώς ο κλάδος ανέκαμψε από τον COVID-19, μια αναφορά Ιουλίου από την PerimeterX έδειξε, με τα ανταγωνιστικά αιτήματα για scraping-bot να αυξάνονται δραματικά στην Ευρώπη και την Ασία.

Καθώς η πανδημία του κορωνοϊού υποχωρεί και οι καταναλωτές προσπαθούν να ξαναρχίσουν τα ετήσια σχέδια διακοπών, οι απατεώνες επικεντρώνουν εκ νέου τις προσπάθειές τους από τις χρηματοοικονομικές υπηρεσίες στις βιομηχανίες ταξιδιών και αναψυχής, σύμφωνα με την TransUnion's τελευταία τριμηνιαία ανάλυση.

Πολλές ομάδες εγκλήματος στον κυβερνοχώρο έχουν εντοπιστεί φέτος να πουλούν κλεμμένα διαπιστευτήρια και άλλες ευαίσθητες προσωπικές πληροφορίες που έχουν κλαπεί από ιστότοπους που σχετίζονται με ταξίδια, με εξελίσσονται μέθοδοι κακόβουλων παραγόντων λόγω της συγκέντρωσης σε στοιχεία προσωπικής ταυτοποίησης.