TA558 网络犯罪组织是针对拉丁美洲酒店、酒店和旅游组织的恶意软件活动的幕后黑手
Proofpoint 的研究人员正在监控一个由网络犯罪组织发起的恶意软件活动,该组织被跟踪为 TA558,该活动针对拉丁美洲的酒店、酒店和旅游组织。
该组织是一个小型犯罪威胁组织,至少自 2018 年 4 月以来一直活跃,在其攻击中使用了多种恶意软件,包括 Loda RAT、Vjw0rm 和 Revenge RAT。
该恶意软件被重新用于窃取酒店客户的个人和财务数据,包括信用卡数据、执行横向移动和提供额外的有效载荷。
该组织主要针对讲葡萄牙语和西班牙语的人,但专家也观察到针对西欧和北美实体的攻击。
该团伙的活动在 2022 年有所增加,攻击链开始使用以预订为主题的诱饵(例如酒店预订)进行网络钓鱼活动。
“2022 年,Proofpoint 观察到活动与往年相比有所增加。此外,TA558 改变了策略并开始使用 URL 和容器文件来分发恶意软件,这可能是为了响应微软宣布它将开始默认阻止从 Internet 下载的 VBA 宏。” 阅读Proofpoint 发布的分析。
2018 年至 2021 年之间进行的攻击利用了带有武器化 Word 文档的电子邮件,其中包含漏洞利用或恶意宏。打开文件后,感染过程开始了。
在最近的攻击中,网络犯罪组织开始使用恶意 URL、RAR 附件、ISO 附件和 Office 文档来传递恶意软件。此举是对微软决定在 Office 产品中默认禁用宏的回应
Proofpoint 报告称,在 2022 年威胁参与者开展的 51 次活动中,其中 27 次利用了指向 ISO 文件和 ZIP 档案的 URL,而从 2018 年到 2021 年,只有 5 次活动利用了这种技术。
Proofpoint 报告称,自 2018 年以来,TA558 已经使用了至少 15 个不同的恶意软件系列,其中一些案例使用了相同的 C2 基础设施。该团伙利用受感染的酒店网站来托管恶意负载。
威胁行为者经常在同一周切换语言,以试图避免检测并使其归因于攻击。
TA558 还在活动数据中使用了多种值得注意的模式,包括使用某些字符串、命名约定和关键字、域等。例如,攻击者经常在电子邮件和恶意软件属性中使用术语 CDT,这与 CDT Travel相关 组织和相关的旅行预订引诱主题。
“自 2018 年以来,TA558 一直是针对酒店、旅游和相关行业的活跃威胁行为者。该行为者进行的活动可能导致公司和客户数据的数据被盗,以及潜在的经济损失。” 报告结束。
“组织,尤其是那些在拉丁美洲、北美和西欧的目标行业运营的组织,应该了解这个参与者的策略、技术和程序。”
