Suvisel kiirel reisihooajal on taas esile kerkinud veel üks külalislahkuse, hotelli- ja reisiorganisatsioone sihiv ohustaja: väiksem rahaliselt motiveeritud mängija nimega TA558.
Proofpointi uute uuringute kohaselt on rühmitus tegutsenud alates 2018. aastast, kuid tugevdab oma rünnakuid sel aastal, võttes sihikule Ladina-Ameerikas asuvaid portugali ja hispaania keelt kõnelevaid inimesi, aga ka sihtmärke Lääne-Euroopas ja Põhja-Ameerikas.
Hispaania-, portugali- ja aeg-ajalt ingliskeelsed meilid kasutavad pahatahtlike manuste või URL-ide levitamiseks broneeringuteemalisi peibutusi, millel on ettevõtte jaoks olulised teemad (nt hotellitubade broneerimine).
Proofpointi teadlased on loendanud 15 erinevat pahavara kasulikku koormust, kõige sagedamini kaugjuurdepääsu troojalased (RAT), mis võivad võimaldada luuret, andmete vargust ja levitada järgnevat pahavara.
Need pahavaraperekonnad kattuvad aeg-ajalt käsu- ja juhtimise (C2) domeenidega, kusjuures kõige sagedamini täheldatud kasulikud koormused hõlmavad Loda, Vjw0rm, AsyncRAT ja Revenge RAT.
Aruandes selgitatakse, et viimastel aastatel on TA558 taktikat muutnud, hakates kasutama URL-e ja konteinerfaile pahavara levitamiseks.
„TA558 hakkas URL-e sagedamini kasutama 2022. aastal. TA558 viis 27. aastal läbi 2022 URL-idega kampaaniat, võrreldes ainult viie kampaaniaga aastatel 2018–2021.” aruande kohaselt. "Tavaliselt viisid URL-id konteinerfailideni, nagu ISO-d või täitmisfaile sisaldavad ZIP-failid."
Proofpointi ohtude uurimise ja avastamise asepresident Sherrod DeGrippo selgitab, et see on tõenäoliselt vastuseks Microsofti teatele, et hakkab vaikimisi blokeerima Internetist allalaaditud VBA makrosid.
"See näitleja on ainulaadne selle poolest, et nad on kasutanud samu peibutusteemasid, keelt ja sihtimist alates sellest, kui Proofpoint nad 2018. aastal esmakordselt tuvastas," räägib ta Dark Readingile.
Siiski juhib ta tähelepanu sellele, et nad muudavad sageli taktikat, tehnikaid ja protseduure (TTP) ning on oma tegevuse jooksul kasutanud erinevat pahavara kasulikku koormust.
"See viitab sellele, et näitleja muudab aktiivselt ja reageerib sellele, mis toimib kõige paremini või on kõige tõhusam esialgse nakatumise saavutamiseks, kasutades taktikat ja pahavara, mida laialdaselt kasutavad mitmed ohus osalejad," ütleb ta.
Ta selgitab, nagu paljud ohus osalejad ohumaastikul, on ka TA558 manustes makrodest eemaldunud ning pahavara levitamiseks kasutanud teisi failitüüpe ja URL-e.
"Tõenäoliselt kasutavad teised nendele tööstusharudele suunatud osalejad sarnaseid tehnikaid, mida me varem kirjeldasime," ütleb ta.
Ohunäitlejatel on makrotoega dokumentidest eemale pööratud otse sõnumitele lisatud pahavara edastamiseks, kasutades üha enam konteinerfaile, nagu ISO- ja RAR-manused ning Windowsi otsetee (LNK) failid.
DeGrippo ütleb, et TA558 aktiivsuse kasv sel aastal ei viita reisi-/hotellindussektorile üldiselt suunatud aktiivsuse suurenemisele.
"Siiski peaksid nende tööstusharude organisatsioonid olema teadlikud aruandes kirjeldatud TTP-dest ja tagama, et töötajad on koolitatud tuvastama andmepüügikatseid ja neist teatama, kui need tuvastatakse," soovitab ta.
Reisitööstus ohus olevate näitlejate ristis
Rünnakud reisimisega seotud veebisaitide vastu hakkas tõusma kuud tagasi, kui tööstus COVID-19-st toibus, näitas PerimeterXi juulikuu aruanne, kus konkureerivate kraapimisrobotite taotluste arv kasvas Euroopas ja Aasias järsult.
Kuna koroonaviiruse pandeemia taandub ja tarbijad soovivad jätkata iga-aastaste puhkuseplaanidega, suunavad petturid oma jõupingutused finantsteenustelt reisi- ja vabaajatööstusele, teatab TransUnion. viimane kvartalianalüüs.
Sel aastal on märgatud mitmeid küberkuritegude rühmitusi, kes müüvad varastatud mandaate ja muud tundlikku isiklikku teavet, mis on varastatud reisimisega seotud veebisaitidelt. pahatahtlike osalejate arenemise meetodid isikut tuvastavale teabele keskendumise tõttu.
