مہمان نوازی، ہوٹل اور ٹریول تنظیموں کو نشانہ بنانے والا ایک اور خطرناک اداکار موسم گرما کے مصروف سفر کے دوران دوبارہ ابھرا ہے: ایک چھوٹا، مالی طور پر حوصلہ افزائی کرنے والا کھلاڑی جس کا نام TA558 ہے۔
پروف پوائنٹ کی نئی تحقیق کے مطابق، یہ گروپ 2018 سے موجود ہے لیکن اس سال اپنے حملوں کو تیز کر رہا ہے، جس میں لاطینی امریکہ میں واقع پرتگالی اور ہسپانوی بولنے والوں کے ساتھ ساتھ مغربی یورپ اور شمالی امریکہ میں اہداف کو نشانہ بنایا جا رہا ہے۔
ہسپانوی، پرتگالی، اور کبھی کبھار انگریزی زبان کی ای میلز کاروبار سے متعلقہ تھیمز (جیسے ہوٹل کے کمرے کی بکنگ) کے ساتھ ریزرویشن تھیم والے لالچ استعمال کرتی ہیں تاکہ نقصان دہ اٹیچمنٹس یا URLs کو تقسیم کیا جا سکے۔
پروف پوائنٹ کے محققین نے 15 مختلف میلویئر پے لوڈز کو شمار کیا ہے، جو اکثر ریموٹ ایکسیس ٹروجن (RATs) ہیں، جو جاسوسی، ڈیٹا چوری، اور فالو آن میلویئر کی تقسیم کو قابل بنا سکتے ہیں۔
یہ میلویئر فیملیز کبھی کبھار کمانڈ اینڈ کنٹرول (C2) ڈومینز کے ساتھ اوورلیپ ہو جاتی ہیں، جن میں Loda، Vjw0rm، AsyncRAT، اور Revenge RAT سمیت اکثر دیکھے جانے والے پے لوڈز شامل ہیں۔
رپورٹ میں وضاحت کی گئی ہے کہ حالیہ برسوں میں، TA558 نے ہتھکنڈوں کو تبدیل کر دیا ہے، میلویئر کو تقسیم کرنے کے لیے URLs اور کنٹینر فائلوں کا استعمال شروع کر دیا ہے۔
"TA558 نے 2022 میں زیادہ کثرت سے URLs کا استعمال کرنا شروع کیا۔ TA558 نے 27 میں URLs کے ساتھ 2022 مہمات چلائیں، جبکہ 2018 سے 2021 تک کل صرف پانچ مہمات چلائی گئیں،" رپورٹ کے مطابق. "عام طور پر، یو آر ایل کنٹینر فائلوں کی طرف لے جاتے ہیں جیسے آئی ایس او یا زپ فائلیں جن میں ایگزیکیوٹیبل ہوتے ہیں۔"
پروف پوائنٹ میں خطرے کی تحقیق اور پتہ لگانے کے نائب صدر شیروڈ ڈی گریپو بتاتے ہیں کہ یہ مائیکروسافٹ کے اس اعلان کے جواب میں ہے کہ وہ پہلے سے طے شدہ طور پر انٹرنیٹ سے ڈاؤن لوڈ کردہ VBA میکرو کو بلاک کرنا شروع کر دے گا۔
وہ ڈارک ریڈنگ کو بتاتی ہیں، "یہ اداکار اس لحاظ سے منفرد ہے کہ انہوں نے 2018 میں پہلی بار پروف پوائنٹ کی شناخت کے بعد سے ایک ہی لالچ تھیمز، زبان اور ٹارگٹنگ کا استعمال کیا ہے۔"
تاہم، وہ بتاتی ہیں کہ وہ اکثر حکمت عملی، تکنیک، اور طریقہ کار (TTPs) کو تبدیل کرتے ہیں اور اپنی سرگرمی کے دوران مختلف میلویئر پے لوڈ استعمال کرتے ہیں۔
"اس سے پتہ چلتا ہے کہ اداکار فعال طور پر تبدیل کر رہا ہے اور اس کا جواب دے رہا ہے کہ ابتدائی انفیکشن کو حاصل کرنے میں کیا سب سے بہتر ہے یا سب سے زیادہ مؤثر ہے، حکمت عملی اور مالویئر کا استعمال کرتے ہوئے جو مختلف قسم کے خطرے والے اداکاروں کے ذریعہ بڑے پیمانے پر استعمال کیے جاتے ہیں،" وہ کہتی ہیں۔
وہ خطرے کے منظر نامے میں بہت سے دھمکی آمیز اداکاروں کی طرح وضاحت کرتی ہے، TA558 نے میلویئر کو تقسیم کرنے کے لیے دیگر فائل ٹائپس اور یو آر ایل کو استعمال کرنے کے لیے منسلکات میں میکرو سے دور ہو گیا ہے۔
"یہ امکان ہے کہ ان صنعتوں کو نشانہ بنانے والے دوسرے اداکار بھی اسی طرح کی تکنیک استعمال کریں گے جو ہم نے پہلے بیان کی ہیں،" وہ کہتی ہیں۔
دھمکیاں اداکاروں کو ہوتی ہیں۔ میکرو فعال دستاویزات سے دور آئی ایس او اور آر اے آر اٹیچمنٹ اور ونڈوز شارٹ کٹ (LNK) فائلوں جیسی کنٹینر فائلوں کا تیزی سے استعمال کرتے ہوئے میلویئر کو ڈیلیور کرنے کے لیے پیغامات سے براہ راست منسلک کیا جاتا ہے۔
DeGrippo کا کہنا ہے کہ اس سال TA558 کی سرگرمی میں اضافہ عمومی طور پر سفری/مہمان نوازی کی صنعتوں کو نشانہ بنانے والی سرگرمیوں میں اضافے کا اشارہ نہیں ہے۔
"تاہم، ان صنعتوں میں تنظیموں کو رپورٹ میں بیان کردہ TTPs سے آگاہ ہونا چاہیے، اور اس بات کو یقینی بنانا چاہیے کہ ملازمین کی شناخت ہونے پر فشنگ کی کوششوں کی شناخت اور رپورٹ کرنے کی تربیت دی جائے،" وہ مشورہ دیتی ہیں۔
ٹریول انڈسٹری ان تھریٹ ایکٹر کراس شائرز
سفر سے متعلق ویب سائٹس کے خلاف حملے اٹھنے لگا مہینوں پہلے جیسے ہی صنعت کووڈ-19 سے بازیافت ہوئی، پیریمیٹر ایکس کی جولائی کی ایک رپورٹ نے اشارہ کیا، یورپ اور ایشیا میں مسابقتی سکریپنگ بوٹ کی درخواستوں میں ڈرامائی طور پر اضافہ ہوا۔
ٹرانس یونین کے مطابق، جیسے جیسے کورونا وائرس وبائی امراض کے اثرات اور صارفین سالانہ تعطیلات کے منصوبوں کو دوبارہ شروع کرنے کے خواہاں ہیں، فراڈ کرنے والے اپنی کوششوں کو مالیاتی خدمات سے لے کر سفر اور تفریحی صنعتوں پر مرکوز کر رہے ہیں۔ تازہ ترین سہ ماہی تجزیہ.
اس سال متعدد سائبر کرائم گروپس کو چوری شدہ اسناد اور سفر سے متعلق ویب سائٹس سے حاصل کردہ دیگر حساس ذاتی معلومات فروخت کرتے ہوئے دیکھا گیا ہے۔ بدنیتی پر مبنی اداکاروں کے طریقے ذاتی طور پر قابل شناخت معلومات پر ارتکاز کی وجہ سے۔
