आतिथ्य, होटल और यात्रा संगठनों को लक्षित करने वाला एक और खतरा अभिनेता व्यस्त गर्मी के मौसम के दौरान फिर से उभरा है: TA558 नाम का एक छोटा, आर्थिक रूप से प्रेरित खिलाड़ी।
प्रूफपॉइंट के नए शोध के अनुसार, समूह 2018 के आसपास रहा है, लेकिन इस साल अपने हमलों को आगे बढ़ा रहा है, लैटिन अमेरिका में स्थित पुर्तगाली और स्पेनिश बोलने वालों के साथ-साथ पश्चिमी यूरोप और उत्तरी अमेरिका में लक्ष्य बना रहा है।
स्पैनिश, पुर्तगाली और कभी-कभी अंग्रेजी भाषा के ईमेल दुर्भावनापूर्ण अटैचमेंट या URL वितरित करने के लिए व्यावसायिक-प्रासंगिक थीम (जैसे होटल-रूम बुकिंग) के साथ आरक्षण-थीम वाले लालच का उपयोग करते हैं।
प्रूफपॉइंट शोधकर्ताओं ने 15 अलग-अलग मैलवेयर पेलोड की गणना की है, सबसे अधिक बार रिमोट एक्सेस ट्रोजन (आरएटी), जो टोही, डेटा चोरी और फॉलो-ऑन मैलवेयर के वितरण को सक्षम कर सकते हैं।
ये मैलवेयर परिवार कभी-कभी कमांड-एंड-कंट्रोल (C2) डोमेन के साथ ओवरलैप करते हैं, जिसमें Loda, Vjw0rm, AsyncRAT और Revenge RAT सहित सबसे अधिक बार देखे जाने वाले पेलोड होते हैं।
रिपोर्ट बताती है कि हाल के वर्षों में, TA558 ने रणनीति बदल दी है, मैलवेयर वितरित करने के लिए URL और कंटेनर फ़ाइलों का उपयोग करना शुरू कर दिया है।
"TA558 ने 2022 में URL का अधिक बार उपयोग करना शुरू किया। TA558 ने 27 से 2022 तक कुल पांच अभियानों की तुलना में 2018 में URL के साथ 2021 अभियान चलाए," रिपोर्ट के अनुसार. "आमतौर पर, यूआरएल कंटेनर फाइलों जैसे आईएसओ या ज़िप फाइलों में निष्पादन योग्य होते हैं।"
प्रूफपॉइंट में खतरे के अनुसंधान और पहचान के उपाध्यक्ष शेरोड डीग्रिपो बताते हैं कि यह माइक्रोसॉफ्ट के जवाब में होने की संभावना है कि यह डिफ़ॉल्ट रूप से इंटरनेट से डाउनलोड किए गए वीबीए मैक्रोज़ को अवरुद्ध करना शुरू कर देगा।
"यह अभिनेता इस मायने में अद्वितीय है कि उन्होंने 2018 में पहली बार प्रूफपॉइंट की पहचान के बाद से एक ही लुभावने विषयों, भाषा और लक्ष्यीकरण का उपयोग किया है," वह डार्क रीडिंग को बताती है।
हालांकि, वह बताती हैं कि वे अक्सर रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) को बदलते हैं और अपनी गतिविधि के दौरान विभिन्न मैलवेयर पेलोड का उपयोग करते हैं।
"इससे पता चलता है कि अभिनेता सक्रिय रूप से बदल रहा है और प्रतिक्रिया दे रहा है कि विभिन्न प्रकार के खतरे वाले अभिनेताओं द्वारा व्यापक रूप से उपयोग की जाने वाली रणनीति और मैलवेयर का उपयोग करके प्रारंभिक संक्रमण को प्राप्त करने में सबसे अच्छा या सबसे प्रभावी क्या है।"
वह बताती हैं कि खतरे के परिदृश्य में कई खतरे वाले अभिनेताओं की तरह, TA558 ने अनुलग्नकों में मैक्रोज़ से मैलवेयर वितरित करने के लिए अन्य फ़ाइल प्रकारों और URL का उपयोग करने के लिए दूर कर दिया है।
"यह संभावना है कि इन उद्योगों को लक्षित करने वाले अन्य कलाकार समान तकनीकों का उपयोग करेंगे जिन्हें हमने पहले वर्णित किया था," वह कहती हैं।
धमकी अभिनेताओं के पास है मैक्रो-सक्षम दस्तावेज़ों से दूर किया गया आईएसओ और आरएआर अटैचमेंट और विंडोज शॉर्टकट (एलएनके) फाइलों जैसी कंटेनर फाइलों का तेजी से उपयोग करते हुए मैलवेयर डिलीवर करने के लिए संदेशों से सीधे जुड़ा हुआ है।
DeGrippo का कहना है कि इस साल TA558 द्वारा गतिविधि में वृद्धि सामान्य रूप से यात्रा / आतिथ्य उद्योगों को लक्षित करने वाली गतिविधि में वृद्धि का संकेत नहीं है।
"हालांकि, इन उद्योगों के संगठनों को रिपोर्ट में वर्णित टीटीपी के बारे में पता होना चाहिए, और यह सुनिश्चित करना चाहिए कि कर्मचारियों को फ़िशिंग प्रयासों की पहचान करने और उनकी पहचान करने के लिए प्रशिक्षित किया जाए," वह सलाह देती हैं।
खतरे में यात्रा उद्योग अभिनेता क्रॉसहेयर
यात्रा संबंधी वेबसाइटों पर हमले उठने लगा महीनों पहले जब उद्योग COVID-19 से उबर गया, तो PerimeterX की एक जुलाई की रिपोर्ट ने संकेत दिया, प्रतिस्पर्धी स्क्रैपिंग-बॉट अनुरोधों के साथ यूरोप और एशिया में नाटकीय रूप से बढ़ रहा है।
ट्रांसयूनियन के अनुसार, कोरोनोवायरस महामारी के प्रकोप और उपभोक्ता वार्षिक अवकाश योजनाओं को फिर से शुरू करना चाहते हैं, धोखेबाज वित्तीय सेवाओं से लेकर यात्रा और अवकाश उद्योगों तक अपने प्रयासों को फिर से शुरू कर रहे हैं। नवीनतम तिमाही विश्लेषण.
इस साल कई साइबर अपराध समूहों को चोरी की गई साख और यात्रा से संबंधित वेबसाइटों से चुराई गई अन्य संवेदनशील व्यक्तिगत जानकारी बेचते हुए देखा गया है। दुर्भावनापूर्ण अभिनेताओं के तरीके विकसित हो रहे हैं व्यक्तिगत रूप से पहचान योग्य जानकारी पर एकाग्रता के कारण।
