另一个针对酒店、酒店和旅游组织的威胁参与者在繁忙的夏季旅游季节重新出现:一个规模较小但有经济动机的参与者,名为 TA558。
根据 Proofpoint 的最新研究,该组织自 2018 年以来一直存在,但今年正在加强攻击,目标是位于拉丁美洲的葡萄牙语和西班牙语使用者,以及西欧和北美的目标。
西班牙语、葡萄牙语和偶尔的英语电子邮件使用带有业务相关主题(例如酒店房间预订)的预订主题诱饵来分发恶意附件或 URL。
Proofpoint 研究人员统计了 15 种不同的恶意软件有效负载,最常见的是远程访问木马 (RAT),它们可以实现侦察、数据盗窃和后续恶意软件的分发。
这些恶意软件家族偶尔会与命令和控制 (C2) 域重叠,最常观察到的有效载荷包括 Loda、Vjw0rm、AsyncRAT 和 Revenge RAT。
该报告解释说,近年来,TA558 改变了策略,开始使用 URL 和容器文件来分发恶意软件。
“TA558 在 2022 年开始更频繁地使用 URL。TA558 在 27 年使用 URL 进行了 2022 次活动,而从 2018 年到 2021 年总共只有 XNUMX 次活动,” 据报道. “通常,URL 会指向容器文件,例如 ISO 或包含可执行文件的 zip 文件。”
Proofpoint 威胁研究和检测副总裁 Sherrod DeGrippo 解释说,这很可能是对微软宣布将开始默认阻止从 Internet 下载的 VBA 宏的回应。
“这位演员的独特之处在于,自 Proofpoint 于 2018 年首次发现他们以来,他们使用了相同的诱惑主题、语言和目标,”她告诉黑暗阅读。
然而,她指出,他们经常改变策略、技术和程序 (TTP),并在其活动过程中使用不同的恶意软件负载。
“这表明攻击者正在积极改变并响应最有效或最有效实现初始感染的方法,使用各种威胁攻击者广泛使用的策略和恶意软件,”她说。
她解释说,与威胁环境中的许多威胁参与者一样,TA558 已从附件中的宏转向使用其他文件类型和 URL 来分发恶意软件。
“其他针对这些行业的参与者很可能会使用我们之前描述的类似技术,”她说。
威胁演员有 远离启用宏的文档 直接附加到消息以传递恶意软件,越来越多地使用容器文件,例如 ISO 和 RAR 附件以及 Windows 快捷方式 (LNK) 文件。
DeGrippo 表示,今年 TA558 活动的增加并不表明针对旅游/酒店行业的活动总体上有所增加。
“然而,这些行业的组织应该了解报告中描述的 TTP,并确保员工接受培训,以便在识别时识别和报告网络钓鱼尝试,”她建议道。
威胁演员十字准线中的旅游业
针对旅游相关网站的攻击 开始上升 几个月前,随着行业从 COVID-19 中复苏,PerimeterX 的 XNUMX 月份报告显示,欧洲和亚洲的竞争性抓取机器人请求急剧增加。
根据 TransUnion 的数据,随着冠状病毒大流行的消退和消费者希望恢复年度假期计划,欺诈者正在将注意力从金融服务转向旅游和休闲行业。 最新季度分析.
今年已经发现多个网络犯罪集团出售从旅游相关网站窃取的被盗凭证和其他敏感个人信息,其中 恶意行为者进化的方法 由于集中在个人身份信息上。
