ホスピタリティ、ホテル、および旅行組織を標的とする別の脅威アクターが、忙しい夏の旅行シーズンに再び現れました。
Proofpoint の新しい調査によると、このグループは 2018 年から存在していますが、今年は攻撃を強化しており、ラテン アメリカに住むポルトガル語とスペイン語を話す人々、および西ヨーロッパと北アメリカを標的にしています。
スペイン語、ポルトガル語、および場合によっては英語の電子メールは、ビジネス関連のテーマ (ホテルの部屋の予約など) を持つ予約をテーマにしたルアーを使用して、悪意のある添付ファイルや URL を配布します。
Proofpoint の研究者は 15 の異なるマルウェア ペイロードを数えましたが、最も頻繁に見られるのはリモート アクセス トロイの木馬 (RAT) であり、偵察、データ盗難、および後続のマルウェアの配布を可能にします。
これらのマルウェア ファミリは、Loda、Vjw2rm、AsyncRAT、Revenge RAT などのペイロードが最も頻繁に観測され、コマンド アンド コントロール (C0) ドメインと重複することがあります。
レポートによると、近年、TA558 は戦術を変更し、URL とコンテナ ファイルを使用してマルウェアを配布し始めています。
「TA558 は 2022 年に URL をより頻繁に使用し始めました。TA558 は 27 年に URL を使用して 2022 のキャンペーンを実施しましたが、2018 年から 2021 年までは合計で XNUMX つのキャンペーンしか実施していませんでした。」 報告書によると. 「通常、URL は ISO などのコンテナ ファイルや、実行可能ファイルを含む zip ファイルにつながっていました。」
Proofpoint の脅威調査および検出担当バイス プレジデントである Sherrod DeGrippo 氏は、これは Microsoft がインターネットからダウンロードされた VBA マクロをデフォルトでブロックし始めると発表したことへの対応である可能性が高いと説明しています。
「この攻撃者は、Proofpoint が 2018 年に最初に特定して以来、同じルアーのテーマ、言語、ターゲティングを使用しているという点でユニークです」と彼女は Dark Reading に語っています。
しかし、彼らはしばしば戦術、技術、手順 (TTP) を変更し、活動の過程でさまざまなマルウェア ペイロードを使用していると彼女は指摘します。
「これは、アクターが積極的に変化し、さまざまな脅威アクターによって広く使用されている戦術とマルウェアを使用して、最初の感染を達成するのに最も効果的または最も効果的なものに対応していることを示唆しています」と彼女は言います。
彼女は、脅威の状況における多くの攻撃者と同様に、TA558 は添付ファイルのマクロから離れて、他のファイル タイプや URL を使用してマルウェアを配布するようになったと説明しています。
「これらの業界を標的とする他のアクターは、以前に説明した同様の手法を使用する可能性があります」と彼女は言います。
脅威アクターは マクロを有効にしたドキュメントから離れた ISO や RAR 添付ファイル、Windows ショートカット (LNK) ファイルなどのコンテナ ファイルを使用することが増えています。
DeGrippo は、今年の TA558 による活動の増加は、旅行/ホスピタリティ業界全般を対象とした活動の増加を示すものではないと述べています。
「しかし、これらの業界の組織は、レポートに記載されている TTP を認識し、従業員がフィッシングの試みを特定し、特定された場合に報告するように訓練されていることを確認する必要があります」と彼女はアドバイスします。
脅威アクターの十字線における旅行業界
旅行関連サイトへの攻撃 上がり始めた PerimeterX の 19 月のレポートによると、数か月前に業界が COVID-XNUMX から回復したため、競合するスクレイピング ボットのリクエストがヨーロッパとアジアで劇的に増加しています。
TransUnion によると、コロナウイルスのパンデミックが収束し、消費者が毎年の休暇計画を再開しようとしているため、詐欺師は金融サービスから旅行およびレジャー業界への取り組みに再び焦点を合わせています。 最新の四半期分析.
今年は複数のサイバー犯罪グループが、旅行関連の Web サイトから盗んだ認証情報やその他の機密情報を販売していることが確認されています。 進化する悪意のあるアクターの手口 個人を特定できる情報が集中しているためです。
