Toinen hotelli-, hotelli- ja matkaorganisaatioihin kohdistuva uhkatekijä on noussut uudelleen kiireisen kesämatkailukauden aikana esiin: pienempi, taloudellisesti motivoitunut pelaaja nimeltä TA558.
Proofpointin uuden tutkimuksen mukaan ryhmä on toiminut vuodesta 2018, mutta lisää hyökkäyksiään tänä vuonna ja kohdistuu Latinalaisessa Amerikassa oleviin portugalin- ja espanjankielisiin sekä Länsi-Euroopan ja Pohjois-Amerikan kohteisiin.
Espanjan-, portugalin- ja satunnaisissa englanninkielisissä sähköpostiviesteissä käytetään varausaiheisia houkutuksia, joissa on liiketoimintaan liittyviä teemoja (kuten hotellihuonevaraukset) haitallisten liitteiden tai URL-osoitteiden jakamiseen.
Proofpoint-tutkijat ovat laskeneet 15 erilaista haittaohjelmahyötykuormaa, useimmiten etäkäyttötroijalaisia (RAT), jotka voivat mahdollistaa tiedustelun, tietovarkauden ja jatkohaittaohjelmien jakelun.
Nämä haittaohjelmaperheet menevät toisinaan päällekkäin komento- ja ohjausverkkotunnusten (C2) kanssa, ja yleisimmin havaitut hyötykuormat, kuten Loda, Vjw0rm, AsyncRAT ja Revenge RAT.
Raportissa selitetään, että TA558 on viime vuosina muuttanut taktiikkaa ja alkanut käyttää URL-osoitteita ja säilötiedostoja haittaohjelmien levittämiseen.
"TA558 alkoi käyttää URL-osoitteita useammin vuonna 2022. TA558 toteutti 27 kampanjaa URL-osoitteilla vuonna 2022 verrattuna vain viiteen kampanjaan vuosina 2018–2021." raportin mukaan. "Yleensä URL-osoitteet johtivat säilötiedostoihin, kuten ISO:ihin tai zip-tiedostoihin, jotka sisältävät suoritettavia tiedostoja."
Sherrod DeGrippo, Proofpointin uhkien tutkimuksesta ja havaitsemisesta vastaava varajohtaja, selittää tämän todennäköisesti vastauksena Microsoftin ilmoitukseen, että se alkaa oletusarvoisesti estää Internetistä ladattuja VBA-makroja.
"Tämä näyttelijä on ainutlaatuinen siinä mielessä, että he ovat käyttäneet samoja vieheteemoja, kieltä ja kohdistusta siitä lähtien, kun Proofpoint tunnisti heidät ensimmäisen kerran vuonna 2018", hän kertoo Dark Readingille.
Hän kuitenkin huomauttaa, että he muuttavat usein taktiikoita, tekniikoita ja menettelytapoja (TTP) ja ovat käyttäneet erilaisia haittaohjelmien hyötykuormia toimintansa aikana.
"Tämä viittaa siihen, että näyttelijä muuttuu aktiivisesti ja vastaa siihen, mikä toimii parhaiten tai on tehokkain alkuperäisen tartunnan saavuttamisessa, käyttämällä taktiikoita ja haittaohjelmia, joita useat uhkatekijät käyttävät laajalti", hän sanoo.
Hän selittää, kuten monet uhkatoimijat uhkakuvassa, TA558 on siirtynyt pois liitteiden makroista käyttämään muita tiedostotyyppejä ja URL-osoitteita haittaohjelmien levittämiseen.
"On todennäköistä, että muut näille aloille kohdistavat toimijat käyttävät samanlaisia tekniikoita, joita kuvailimme aiemmin", hän sanoo.
Uhka näyttelijöillä on kierretty pois makroa tukevista asiakirjoista liitettynä suoraan viesteihin haittaohjelmien toimittamiseksi käyttämällä yhä useammin säilötiedostoja, kuten ISO- ja RAR-liitteitä ja Windows Shortcut (LNK) -tiedostoja.
DeGrippo sanoo, että TA558:n aktiviteetin kasvu tänä vuonna ei ole osoitus matkailu-/vieraanvaraisuusaloihin kohdistuvan toiminnan lisääntymisestä yleensä.
"Näillä toimialoilla toimivien organisaatioiden tulee kuitenkin olla tietoisia raportissa kuvatuista TTP:istä ja varmistaa, että työntekijät on koulutettu tunnistamaan ja raportoimaan tietojenkalasteluyritykset, kun ne tunnistetaan", hän neuvoo.
Matkailuala uhkanäyttelijöiden ristissä
Hyökkäykset matkustamiseen liittyviä verkkosivustoja vastaan alkoi nousta kuukautta sitten, kun teollisuus toipui COVID-19:stä, PerimeterX:n heinäkuun raportti osoitti, että kilpailevien kaavinta koskevien pyyntöjen lisääntyminen Euroopassa ja Aasiassa lisääntyi dramaattisesti.
TransUnionin tiedotteen mukaan koronaviruspandemian laantuessa ja kuluttajien pyrkiessä jatkamaan vuosilomasuunnitelmia, huijarit ovat keskittämässä ponnistelujaan rahoituspalveluista matkailu- ja vapaa-ajan aloihin. viimeisin neljännesvuosittainen analyysi.
Tänä vuonna on havaittu useita kyberrikollisryhmiä myyvän varastettuja valtuustietoja ja muita arkaluontoisia henkilötietoja, jotka on varastettu matkailuun liittyviltä verkkosivustoilta. haitallisten toimijoiden kehittymisen menetelmät henkilötietoihin keskittymisen vuoksi.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
