Một tác nhân đe dọa khác nhắm vào các tổ chức khách sạn, khách sạn và du lịch đã xuất hiện trở lại trong mùa du lịch hè bận rộn: một tay chơi nhỏ hơn, có động cơ tài chính tên là TA558.
Theo nghiên cứu mới từ Proofpoint, nhóm này đã hoạt động từ năm 2018 nhưng đang đẩy mạnh các cuộc tấn công trong năm nay, nhắm vào những người nói tiếng Bồ Đào Nha và Tây Ban Nha ở Châu Mỹ Latinh, cũng như các mục tiêu ở Tây Âu và Bắc Mỹ.
Các email tiếng Tây Ban Nha, tiếng Bồ Đào Nha và đôi khi là tiếng Anh sử dụng mồi nhử theo chủ đề đặt phòng với các chủ đề liên quan đến doanh nghiệp (chẳng hạn như đặt phòng khách sạn) để phát tán các tệp đính kèm hoặc URL độc hại.
Các nhà nghiên cứu của Proofpoint đã đếm được 15 loại phần mềm độc hại khác nhau, phổ biến nhất là các Trojan truy cập từ xa (RAT), có thể cho phép trinh sát, đánh cắp dữ liệu và phân phối phần mềm độc hại tiếp theo.
Các họ phần mềm độc hại này đôi khi trùng lặp với các miền lệnh và kiểm soát (C2), với các tải trọng được quan sát thường xuyên nhất bao gồm Loda, Vjw0rm, AsyncRAT và Revenge RAT.
Báo cáo giải thích rằng trong những năm gần đây, TA558 đã thay đổi chiến thuật, bắt đầu sử dụng URL và tệp chứa để phát tán phần mềm độc hại.
“TA558 bắt đầu sử dụng URL thường xuyên hơn vào năm 2022. TA558 đã thực hiện 27 chiến dịch có URL vào năm 2022, so với tổng số chỉ 2018 chiến dịch từ năm 2021 đến năm XNUMX,” Theo bảng báo cáo. “Thông thường, các URL dẫn đến các tệp chứa như ISO hoặc tệp zip chứa tệp thực thi.”
Sherrod DeGrippo, phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, giải thích điều này có thể là phản ứng trước việc Microsoft tuyên bố sẽ bắt đầu chặn các macro VBA được tải xuống từ Internet theo mặc định.
Cô nói với Dark Reading: “Diễn viên này độc đáo ở chỗ họ đã sử dụng cùng chủ đề, ngôn ngữ và nhắm mục tiêu thu hút giống nhau kể từ khi Proofpoint lần đầu tiên xác định chúng vào năm 2018”.
Tuy nhiên, cô chỉ ra rằng họ thường thay đổi chiến thuật, kỹ thuật và quy trình (TTP) và đã sử dụng các tải trọng phần mềm độc hại khác nhau trong quá trình hoạt động của mình.
Cô nói: “Điều này cho thấy kẻ tấn công đang tích cực thay đổi và phản hồi những gì hoạt động tốt nhất hoặc hiệu quả nhất trong việc đạt được sự lây nhiễm ban đầu, sử dụng các chiến thuật và phần mềm độc hại được nhiều kẻ đe dọa sử dụng rộng rãi”.
Cô giải thích giống như nhiều tác nhân đe dọa trong bối cảnh mối đe dọa, TA558 đã chuyển hướng từ macro trong tệp đính kèm sang sử dụng các loại tệp và URL khác để phát tán phần mềm độc hại.
Cô nói: “Có khả năng các tác nhân khác nhắm vào các ngành này sẽ sử dụng các kỹ thuật tương tự mà chúng tôi đã mô tả trước đây”.
Các tác nhân đe dọa có xoay vòng khỏi các tài liệu hỗ trợ macro được đính kèm trực tiếp vào tin nhắn để phát tán phần mềm độc hại, ngày càng sử dụng các tệp chứa như tệp đính kèm ISO và RAR và tệp Windows Shortcut (LNK).
DeGrippo cho biết sự gia tăng hoạt động của TA558 trong năm nay không phải là dấu hiệu cho thấy sự gia tăng hoạt động nhắm vào ngành du lịch/khách sạn nói chung.
Bà khuyên: “Tuy nhiên, các tổ chức trong các ngành này nên biết về TTP được mô tả trong báo cáo và đảm bảo nhân viên được đào tạo để xác định và báo cáo các nỗ lực lừa đảo khi được xác định”.
Ngành du lịch trong tầm ngắm của các tác nhân đe dọa
Tấn công vào các trang web liên quan đến du lịch bắt đầu tăng vài tháng trước khi ngành này phục hồi sau COVID-19, một báo cáo tháng XNUMX từ PerimeterX đã chỉ ra, với các yêu cầu về bot có tính cạnh tranh tăng lên đáng kể ở Châu Âu và Châu Á.
Theo TransUnion, khi đại dịch vi-rút Corona suy giảm và người tiêu dùng tìm cách tiếp tục các kế hoạch đi nghỉ hàng năm, những kẻ lừa đảo đang tập trung nỗ lực từ dịch vụ tài chính sang ngành du lịch và giải trí. phân tích hàng quý mới nhất.
Nhiều nhóm tội phạm mạng đã bị phát hiện trong năm nay khi bán thông tin đăng nhập bị đánh cắp và thông tin cá nhân nhạy cảm khác lấy trộm từ các trang web liên quan đến du lịch. phương pháp phát triển của các tác nhân độc hại do tập trung vào thông tin nhận dạng cá nhân.
