ตัวคุกคามอีกรายที่มุ่งเป้าไปที่องค์กรการบริการ โรงแรม และการท่องเที่ยวได้กลับมาปรากฏตัวอีกครั้งในช่วงฤดูร้อนที่วุ่นวาย นั่นคือผู้เล่นตัวเล็กและมีแรงจูงใจทางการเงินชื่อ TA558
ตามการวิจัยใหม่จาก Proofpoint กลุ่มนี้มีมาตั้งแต่ปี 2018 แต่กำลังเพิ่มการโจมตีในปีนี้โดยกำหนดเป้าหมายไปที่ผู้พูดภาษาโปรตุเกสและสเปนที่อยู่ในละตินอเมริการวมถึงเป้าหมายในยุโรปตะวันตกและอเมริกาเหนือ
อีเมลภาษาสเปน โปรตุเกส และภาษาอังกฤษเป็นครั้งคราวใช้การหลอกลวงในธีมการจองซึ่งมีธีมที่เกี่ยวข้องกับธุรกิจ (เช่น การจองห้องพักในโรงแรม) เพื่อแจกจ่ายไฟล์แนบหรือ URL ที่เป็นอันตราย
นักวิจัยของ Proofpoint นับ 15 payloads ของมัลแวร์ที่แตกต่างกัน ซึ่งส่วนใหญ่เป็นโทรจันที่เข้าถึงจากระยะไกล (RAT) บ่อยที่สุด ซึ่งสามารถเปิดใช้งานการสอดแนม การขโมยข้อมูล และการกระจายมัลแวร์ที่ตามมา
กลุ่มมัลแวร์เหล่านี้ทับซ้อนกับโดเมน command-and-control (C2) เป็นครั้งคราว โดยมีเพย์โหลดที่สังเกตได้บ่อยที่สุด ได้แก่ Loda, Vjw0rm, AsyncRAT และ Revenge RAT
รายงานอธิบายว่าในช่วงไม่กี่ปีที่ผ่านมา TA558 ได้เปลี่ยนกลยุทธ์ โดยเริ่มใช้ URL และไฟล์คอนเทนเนอร์เพื่อแจกจ่ายมัลแวร์
“TA558 เริ่มใช้ URL บ่อยขึ้นในปี 2022 TA558 ดำเนินการ 27 แคมเปญที่มี URL ในปี 2022 เทียบกับเพียงห้าแคมเปญทั้งหมดตั้งแต่ปี 2018 ถึง 2021” ตามรายงาน. “โดยปกติแล้ว URL จะนำไปสู่ไฟล์คอนเทนเนอร์ เช่น ISO หรือไฟล์ zip ที่มีไฟล์เรียกทำงาน”
Sherrod DeGrippo รองประธานฝ่ายวิจัยและตรวจจับภัยคุกคามที่ Proofpoint อธิบายว่าสิ่งนี้มีแนวโน้มที่จะตอบสนองต่อ Microsoft ที่ประกาศว่าจะเริ่มบล็อกมาโคร VBA ที่ดาวน์โหลดจากอินเทอร์เน็ตโดยค่าเริ่มต้น
“นักแสดงคนนี้มีความพิเศษตรงที่พวกเขาใช้ธีม ภาษา และการกำหนดเป้าหมายที่ล่อแหลมตั้งแต่ Proofpoint ระบุพวกเขาครั้งแรกในปี 2018” เธอบอกกับ Dark Reading
อย่างไรก็ตาม เธอชี้ให้เห็นว่าพวกเขามักจะเปลี่ยนกลยุทธ์ เทคนิค และขั้นตอน (TTP) และใช้เพย์โหลดมัลแวร์ที่แตกต่างกันตลอดกิจกรรม
“สิ่งนี้ชี้ให้เห็นว่านักแสดงกำลังเปลี่ยนแปลงอย่างแข็งขันและตอบสนองต่อสิ่งที่ดีที่สุดหรือมีประสิทธิภาพสูงสุดในการบรรลุการติดเชื้อครั้งแรก โดยใช้กลวิธีและมัลแวร์ที่ใช้กันอย่างแพร่หลายโดยผู้คุกคามที่หลากหลาย” เธอกล่าว
เธออธิบายเหมือนกับผู้คุกคามหลายคนในแนวภัยคุกคาม TA558 ได้เปลี่ยนจากมาโครในไฟล์แนบไปเป็นการใช้ไฟล์ประเภทอื่นๆ และ URL เพื่อแจกจ่ายมัลแวร์
“มีแนวโน้มว่านักแสดงคนอื่นๆ ที่กำหนดเป้าหมายอุตสาหกรรมเหล่านี้จะใช้เทคนิคที่คล้ายคลึงกันที่เราอธิบายไว้ก่อนหน้านี้” เธอกล่าว
ตัวแสดงภัยคุกคามมี หันออกจากเอกสารที่เปิดใช้งานมาโคร แนบไปกับข้อความโดยตรงเพื่อส่งมัลแวร์ โดยใช้ไฟล์คอนเทนเนอร์ เช่น ไฟล์แนบ ISO และ RAR และไฟล์ Windows Shortcut (LNK) เพิ่มมากขึ้น
DeGrippo กล่าวว่าการเพิ่มขึ้นของกิจกรรมโดย TA558 ในปีนี้ไม่ได้บ่งชี้ถึงการเพิ่มขึ้นของกิจกรรมที่มุ่งเป้าไปที่อุตสาหกรรมการท่องเที่ยว/การต้อนรับโดยทั่วไป
“อย่างไรก็ตาม องค์กรในอุตสาหกรรมเหล่านี้ควรตระหนักถึง TTP ที่อธิบายไว้ในรายงาน และให้แน่ใจว่าพนักงานได้รับการฝึกอบรมเพื่อระบุและรายงานความพยายามฟิชชิ่งเมื่อถูกระบุ” เธอแนะนำ
อุตสาหกรรมการท่องเที่ยวใน Crosshairs ภัยคุกคาม
การโจมตีเว็บไซต์ที่เกี่ยวข้องกับการเดินทาง เริ่มสูงขึ้น เมื่อหลายเดือนก่อน ขณะที่อุตสาหกรรมฟื้นตัวจากโควิด-19 รายงานฉบับเดือนกรกฎาคมจาก PerimeterX ระบุ โดยคำขอของบอทขูดที่แข่งขันได้เพิ่มขึ้นอย่างมากในยุโรปและเอเชีย
ในขณะที่การระบาดใหญ่ของโคโรนาไวรัสและผู้บริโภคมองหาที่จะกลับมาใช้แผนวันหยุดประจำปีอีกครั้ง ผู้ฉ้อโกงกำลังปรับความพยายามของพวกเขาจากบริการทางการเงินไปสู่อุตสาหกรรมการท่องเที่ยวและการพักผ่อน ตามรายงานของ TransUnion บทวิเคราะห์รายไตรมาสล่าสุด.
ในปีนี้ มีกลุ่มอาชญากรไซเบอร์หลายกลุ่มขายข้อมูลประจำตัวที่ถูกขโมยและข้อมูลส่วนบุคคลที่ละเอียดอ่อนอื่น ๆ ที่ถูกขโมยจากเว็บไซต์ที่เกี่ยวข้องกับการเดินทาง วิธีการของนักแสดงที่เป็นอันตรายกำลังพัฒนา เนื่องจากการจดจ่ออยู่กับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
