一名被追踪为 TA558 的黑客今年增加了他们的活动,针对酒店和旅游领域的多家酒店和公司开展了网络钓鱼活动。
威胁行为者使用一组 15 个不同的恶意软件系列,通常是远程访问木马 (RAT),来访问目标系统、执行监视、窃取关键数据,并最终从客户那里窃取资金。
TA558 至少从 2018 年开始就一直活跃,但 Proofpoint 最近的活动有所增加,这可能与两年的 COVID-19 限制后旅游业的反弹有关。
最近的 TA558 活动
2022 年,TA558 在其网络钓鱼电子邮件中不再使用带有宏的文档,而是在邮件中采用了 RAR 和 ISO 文件附件或嵌入的 URL。
微软决定在 Office 中阻止 VBA 和 XL4 宏 , 其他威胁参与者也看到了类似的变化 ,黑客历来使用这些宏通过恶意文档加载、删除和安装恶意软件。
启动感染链的网络钓鱼电子邮件以英语、西班牙语和葡萄牙语编写,针对北美、西欧和拉丁美洲的公司。
电子邮件主题围绕着对目标组织进行预订,假装来自会议组织者、旅游局代理以及收件人无法轻易拒绝的其他来源。
单击消息正文中的 URL(据称是预订链接)的受害者将收到来自远程资源的 ISO 文件。
该存档包含一个批处理文件,该文件启动一个 PowerShell 脚本,该脚本最终将 RAT 有效负载放到受害者的计算机上,并创建一个计划任务以进行持久性。
2022运动感染链 (Proofpoint)
在今年 Proofpoint 观察到的大多数情况下,有效载荷是 AsyncRAT 或 Loda,而 Revenge RAT、XtremeRAT、CaptureTela 和 BluStealer 的部署规模也较小。
2020 年攻击中使用的恶意软件菌株 (Proofpoint)
例如,2022 年的一项活动使用 QuickBooks 发票诱饵而不是房间预订,并专门放弃了 Revenge RAT。
在使用 RAT 恶意软件入侵酒店系统后,TA558 深入网络以窃取客户数据、存储信用卡详细信息,并修改面向客户的网站以转移预订付款。
2022 年 7 月,葡萄牙里斯本的马里诺精品酒店的 Booking.com 账户遭到黑客入侵,入侵者在四天内从毫无戒心的付费预订客户那里偷走了 50 万欧元。
虽然在这种情况下 TA558 的参与并未得到证实,但它与威胁参与者的 TTP 和目标范围相匹配,并且至少提供了一个示例,说明他们如何通过访问酒店系统获利。
TA558 的其他赚钱方式是出售或使用被盗的信用卡详细信息、出售客户 PII、敲诈高利益个人,或将受感染酒店网络的访问权出售给勒索软件团伙。
