Summertime Blues: TA558 nasila ataki na hotelarstwo i sektor turystyczny

Podczas pracowitego letniego sezonu podróży ponownie pojawił się inny gracz atakujący branżę hotelarską, hotelową i turystyczną: mniejszy, zmotywowany finansowo gracz o imieniu TA558.

Według nowego badania przeprowadzonego przez Proofpoint, grupa istnieje od 2018 roku, ale w tym roku nasila ataki, wymierzone w osoby mówiące po portugalsku i hiszpańsku znajdujące się w Ameryce Łacińskiej, a także w Europie Zachodniej i Ameryce Północnej.

Hiszpańskie, portugalskie i okazjonalne anglojęzyczne e-maile wykorzystują przynęty o tematyce rezerwacji z motywami istotnymi dla biznesu (takimi jak rezerwacje pokoi hotelowych) do rozpowszechniania złośliwych załączników lub adresów URL.

Badacze Proofpoint policzyli 15 różnych szkodliwych programów, najczęściej trojanów zdalnego dostępu (RAT), które mogą umożliwiać rozpoznanie, kradzież danych i dystrybucję kolejnego szkodliwego oprogramowania.

Te rodziny złośliwego oprogramowania czasami pokrywają się z domenami typu „dowodzenia i kontroli” (C2), przy czym najczęściej obserwowanymi ładunkami są Loda, Vjw0rm, AsyncRAT i Revenge RAT.

Raport wyjaśnia, że ​​w ostatnich latach TA558 zmienił taktykę, zaczynając wykorzystywać adresy URL i pliki kontenerów do dystrybucji złośliwego oprogramowania.

„TA558 zaczął częściej korzystać z adresów URL w 2022 roku. TA558 przeprowadził 27 kampanii z adresami URL w 2022 roku, w porównaniu do zaledwie pięciu kampanii w latach 2018-2021” Według raportu. „Zazwyczaj adresy URL prowadziły do ​​plików kontenerów, takich jak obrazy ISO lub pliki zip zawierające pliki wykonywalne”.

Sherrod DeGrippo, wiceprezes ds. badań i wykrywania zagrożeń w Proofpoint, wyjaśnia, że ​​jest to prawdopodobnie reakcja na ogłoszenie przez firmę Microsoft, że domyślnie zacznie blokować makra VBA pobierane z Internetu.

„Ten aktor jest wyjątkowy, ponieważ używał tych samych motywów przynęty, języka i kierowania, odkąd Proofpoint po raz pierwszy zidentyfikował go w 2018 roku”, mówi Dark Reading.

Wskazuje jednak, że często zmieniają taktyki, techniki i procedury (TTP) i wykorzystują różne ładunki złośliwego oprogramowania w trakcie swojej działalności.

„Sugeruje to, że aktor aktywnie się zmienia i reaguje na to, co działa najlepiej lub najskuteczniej w początkowej infekcji, stosując taktyki i złośliwe oprogramowanie powszechnie używane przez różnych cyberprzestępców” – mówi.

Wyjaśnia, jak wielu cyberprzestępców w krajobrazie zagrożeń, że TA558 odszedł od makr w załącznikach do używania innych typów plików i adresów URL do dystrybucji złośliwego oprogramowania.

„Prawdopodobnie inni aktorzy atakujący te branże będą używać podobnych technik, które opisaliśmy wcześniej”, mówi.

Zagrożenia mają odszedł od dokumentów z obsługą makr dołączane bezpośrednio do wiadomości w celu dostarczania złośliwego oprogramowania, coraz częściej przy użyciu plików kontenerów, takich jak załączniki ISO i RAR oraz pliki skrótów systemu Windows (LNK).

DeGrippo twierdzi, że wzrost aktywności przez TA558 w tym roku nie wskazuje na wzrost aktywności skierowanej ogólnie do branży turystycznej/hotelarskiej.

„Jednak organizacje z tych branż powinny zdawać sobie sprawę z TTP opisanych w raporcie i zapewnić przeszkolenie pracowników w zakresie identyfikowania i zgłaszania prób phishingu po ich zidentyfikowaniu” – radzi.

Branża turystyczna na celowniku Threat Actor

Ataki na strony internetowe związane z podróżami zaczął rosnąć kilka miesięcy temu, gdy branża wyzdrowiała z COVID-19, lipcowy raport PerimeterX wskazał, a żądania konkurencyjnych botów do scrapingu dramatycznie wzrosły w Europie i Azji.

Podczas gdy pandemia koronawirusa spada, a konsumenci chcą wznowić coroczne plany urlopowe, oszuści przekierowują swoje wysiłki z usług finansowych na branżę turystyczną i rekreacyjną, według TransUnion najnowsza analiza kwartalna.

W tym roku zauważono wiele grup cyberprzestępczych sprzedających skradzione dane uwierzytelniające i inne poufne dane osobowe wykradzione ze stron internetowych związanych z podróżami. metody ewolucji złośliwych aktorów ze względu na koncentrację na informacjach umożliwiających identyfikację osoby.