Summertime Blues: TA558 наращивает атаки на гостиничный и туристический секторы

Во время напряженного летнего туристического сезона вновь появился еще один субъект угрозы, нацеленный на гостиничные, гостиничные и туристические организации: более мелкий, финансово мотивированный игрок по имени TA558.

Согласно новому исследованию Proofpoint, группа существует с 2018 года, но в этом году активизирует свои атаки, нацеленные на португалоязычных и испаноговорящих жителей Латинской Америки, а также на цели в Западной Европе и Северной Америке.

Испанские, португальские и иногда англоязычные электронные письма используют приманки на тему бронирования с бизнес-темами (например, бронирование номеров в отеле) для распространения вредоносных вложений или URL-адресов.

Исследователи Proofpoint насчитали 15 различных полезных нагрузок вредоносных программ, чаще всего троянов удаленного доступа (RAT), которые могут обеспечивать разведку, кражу данных и распространение последующих вредоносных программ.

Эти семейства вредоносных программ иногда пересекаются с доменами управления и контроля (C2), при этом наиболее часто наблюдаемые полезные нагрузки включают Loda, Vjw0rm, AsyncRAT и Revenge RAT.

В отчете поясняется, что в последние годы TA558 изменил тактику, начав использовать URL-адреса и файлы-контейнеры для распространения вредоносных программ.

«TA558 начал чаще использовать URL-адреса в 2022 году. TA558 провел 27 кампаний с URL-адресами в 2022 году по сравнению с всего пятью кампаниями с 2018 по 2021 год». согласно докладу. «Обычно URL-адреса ведут к файлам-контейнерам, таким как ISO-файлы или zip-файлы, содержащие исполняемые файлы».

Шеррод Дегриппо, вице-президент Proofpoint по исследованию и обнаружению угроз, объясняет, что это, вероятно, является ответом на заявление Microsoft о начале блокировки макросов VBA, загружаемых из Интернета, по умолчанию.

«Этот актер уникален тем, что они использовали одни и те же темы, язык и таргетинг с тех пор, как Proofpoint впервые идентифицировал их в 2018 году», — говорит она Dark Reading.

Однако она отмечает, что они часто меняют тактику, методы и процедуры (TTP) и используют различные вредоносные программы в ходе своей деятельности.

«Это говорит о том, что субъект активно меняется и реагирует на то, что работает лучше всего или является наиболее эффективным для первоначального заражения, используя тактику и вредоносное ПО, широко используемые различными субъектами угроз», — говорит она.

Она объясняет, как и многие злоумышленники в ландшафте угроз, TA558 отказался от макросов во вложениях к использованию других типов файлов и URL-адресов для распространения вредоносного ПО.

«Вероятно, другие игроки, нацеленные на эти отрасли, будут использовать аналогичные методы, которые мы описали ранее», — говорит она.

У злоумышленников есть отказались от документов с поддержкой макросов прикрепляются непосредственно к сообщениям для доставки вредоносных программ, все чаще используя файлы-контейнеры, такие как вложения ISO и RAR, а также файлы Windows Shortcut (LNK).

ДеГриппо говорит, что рост активности на TA558 в этом году не свидетельствует о росте активности в индустрии туризма и гостеприимства в целом.

«Однако организациям в этих отраслях следует знать о TTP, описанных в отчете, и убедиться, что сотрудники обучены выявлять попытки фишинга и сообщать о них», — советует она.

Туристическая индустрия под угрозой

Атаки на веб-сайты, связанные с путешествиями начал подниматься несколько месяцев назад, когда отрасль оправилась от COVID-19, как указано в июльском отчете PerimeterX, количество запросов на парсинг-ботов в Европе и Азии резко возросло.

По данным TransUnion, по мере того, как пандемия коронавируса идет на убыль и потребители стремятся возобновить ежегодные планы на отпуск, мошенники переориентируют свои усилия с финансовых услуг на индустрию путешествий и отдыха. последний квартальный анализ.

В этом году было замечено несколько групп киберпреступников, продающих украденные учетные данные и другую конфиденциальную личную информацию, украденную с веб-сайтов, связанных с путешествиями. способы развития злоумышленников из-за концентрации на личной информации.