Konaklama, otel ve seyahat organizasyonlarını hedef alan başka bir tehdit aktörü, yoğun yaz seyahat sezonunda yeniden ortaya çıktı: TA558 adlı daha küçük, finansal olarak motive olmuş bir oyuncu.
Proofpoint'in yeni araştırmasına göre, grup 2018'den beri var ama bu yıl saldırılarını artırarak Latin Amerika'da bulunan Portekizce ve İspanyolca konuşanların yanı sıra Batı Avrupa ve Kuzey Amerika'daki hedefleri hedef alıyor.
İspanyolca, Portekizce ve ara sıra İngilizce e-postalar, kötü niyetli ekler veya URL'ler dağıtmak için işle ilgili temalara (otel odası rezervasyonları gibi) sahip rezervasyon temalı yemler kullanır.
Proofpoint araştırmacıları, keşif, veri hırsızlığı ve takip eden kötü amaçlı yazılımların dağıtımını sağlayabilen, en sık uzaktan erişim Truva Atları (RAT'lar) olmak üzere 15 farklı kötü amaçlı yazılım yükü saymıştır.
Bu kötü amaçlı yazılım aileleri, zaman zaman Loda, Vjw2rm, AsyncRAT ve Revenge RAT dahil olmak üzere en sık gözlemlenen yükler ile komut ve kontrol (C0) alanlarıyla çakışır.
Rapor, son yıllarda TA558'in taktikleri değiştirdiğini ve kötü amaçlı yazılım dağıtmak için URL'leri ve kapsayıcı dosyalarını kullanmaya başladığını açıklıyor.
"TA558, 2022'de URL'leri daha sık kullanmaya başladı. TA558, 27'den 2022'e kadar toplam beş kampanyaya kıyasla, 2018'de URL'lerle 2021 kampanya yürüttü." rapora göre. "Genellikle URL'ler, yürütülebilir dosyaları içeren ISO'lar veya zip dosyaları gibi kapsayıcı dosyalara yol açtı."
Proofpoint'te tehdit araştırma ve algılama başkan yardımcısı Sherrod DeGrippo, bunun Microsoft'un varsayılan olarak İnternet'ten indirilen VBA makrolarını engellemeye başlayacağını duyurmasına yanıt olarak olabileceğini açıklıyor.
Dark Reading'e “Proofpoint onları ilk kez 2018'de tanımladığından beri aynı cazibe temalarını, dili ve hedeflemeyi kullandıkları için bu oyuncu benzersiz” diyor.
Ancak, taktikleri, teknikleri ve prosedürleri (TTP'ler) sıklıkla değiştirdiklerini ve faaliyetleri boyunca farklı kötü amaçlı yazılım yükleri kullandıklarına dikkat çekiyor.
"Bu, aktörün, çeşitli tehdit aktörleri tarafından yaygın olarak kullanılan taktikleri ve kötü amaçlı yazılımları kullanarak, ilk enfeksiyona ulaşmada en iyi veya en etkili olanı aktif olarak değiştirdiğini ve bunlara yanıt verdiğini gösteriyor" diyor.
Tehdit ortamındaki birçok tehdit aktörü gibi TA558'in de eklerdeki makrolardan uzaklaşarak kötü amaçlı yazılım dağıtmak için diğer dosya türlerini ve URL'leri kullanmaya geçtiğini açıklıyor.
“Bu endüstrileri hedefleyen diğer aktörlerin daha önce tanımladığımız benzer teknikleri kullanması muhtemeldir” diyor.
Tehdit aktörleri var makro etkin belgelerden uzaklaştı Kötü amaçlı yazılımları iletmek için doğrudan mesajlara eklenir ve giderek artan şekilde ISO ve RAR ekleri ve Windows Kısayol (LNK) dosyaları gibi kapsayıcı dosyalarını kullanır.
DeGrippo, bu yıl TA558'deki faaliyet artışının, genel olarak seyahat/otelcilik sektörlerini hedefleyen faaliyetlerde bir artışın göstergesi olmadığını söylüyor.
"Ancak, bu sektörlerdeki kuruluşlar, raporda açıklanan TTP'lerin farkında olmalı ve çalışanların, kimlik avı girişimlerini tespit edip rapor etmeleri için eğitilmesini sağlamalıdır" diye tavsiyede bulunuyor.
Tehdit Aktörlerinin Hedefinde Seyahat Sektörü
Seyahatle ilgili web sitelerine yönelik saldırılar yükselmeye başladı aylar önce endüstri COVID-19'dan kurtulurken, PerimeterX'in Temmuz ayındaki bir raporu, Avrupa ve Asya'da rekabetçi kazıma robotu taleplerinin çarpıcı biçimde arttığını belirtti.
TransUnion'a göre, koronavirüs pandemisi geri çekilip tüketiciler yıllık tatil planlarına devam etmeye çalışırken, dolandırıcılar çabalarını finansal hizmetlerden seyahat ve eğlence sektörlerine yeniden odaklıyorlar. son üç aylık analiz.
Bu yıl, seyahatle ilgili web sitelerinden çalınan çalıntı kimlik bilgileri ve diğer hassas kişisel bilgileri satan çok sayıda siber suç grubu tespit edildi. kötü niyetli aktörlerin gelişen yöntemleri kişisel olarak tanımlanabilir bilgiler üzerindeki yoğunlaşma nedeniyle.
