最近一个被称为TA558的持续威胁组织加强了针对旅游和酒店行业的网络攻击。在经历了因COVID相关的旅行限制,导致攻击活动停滞之后,该威胁集团加大了攻击的活动力度,利用旅客旅行和相关的航空公司以及酒店预订量的上升所带来的流量红利。
安全研究人员警告说,TA558网络犯罪分子改进了他们在2018年的攻击方式,他们通过发送包含恶意链接的虚假预订邮件,如果用户点击,那么就会下载一个恶意软件有效载荷,其中就包含大量的恶意软件变种。
根据Proofpoint的一份报告,最近这次攻击活动的独特之处在于攻击者使用了与邮件相关的RAR和ISO文件附件。ISO和RAR是单一的压缩文件,如果直接执行的话,就会解压其中的文件和文件夹中的数据。
Proofpoint写道,TA558在2022年开始更频繁地使用URL,他们在2022年进行了27次带有URLs的活动,然而从2018年到2021年则总共只有5次攻击活动。
研究人员写道,如果要完成主机感染的过程,目标受害者必须要去解压文件档案。保留链接......下载一个ISO文件和一个嵌入式批处理文件。BAT文件的执行会导致另一个PowerShell辅助脚本的执行,同样该脚本会下载一个后续的有效载荷AsyncRAT。
交通运输公司可能已经被恶意软件感染
据Proofpoint称,过去由Palo Alto Networks(2018年)、Cisco Talos(2020年和2021年)和Uptycs(2020年)追踪的TA558的攻击活动,利用了恶意的微软Word文档附件(CVE-2017-11882)或远程模板URL来下载和安装恶意软件。
研究人员说,攻击载体向ISO和RAR文件的转变,可能是和微软在2021年底和2022年初宣布在Office产品中默认禁用宏VBA和XL4有关。
在2022年,攻击活动的节奏明显加快。这些攻击活动都会提供一个混合的恶意软件,如:Loda、Revenge RAT和AsyncRAT。研究人员写道,该行为人使用了各种交付机制,包括URL、RAR附件、ISO附件和Office文档。
Proofpoint说,最近活动的恶意软件有效载荷通常会包括远程访问木马(RATs),可以实现侦察、数据盗窃和后续有效载荷的分发。
不过,尽管经过多次的演变,该组织的攻击目标也始终没有改变。分析师得出的结论是,攻击者具有高度的自信心,TA558是出于经济上的动机,利用偷来的数据来扩大攻击规模。Proofpoint威胁研究和检测组织副总裁Sherrod DeGrippo在一份声明中写道,其可能存在的妥协可能会影响到旅游行业以及使用其进行度假的客户。这些行业和相关行业的组织应该意识到这个攻击者活动所带来的危害,并及时采取防护措施来保护自己。
TA558 的历史
至少从2018年,TA558就开始主要针对旅游、酒店和相关行业领域的组织进行了攻击。这些组织往往位于拉丁美洲,有时位于北美或西欧。
纵观其历史,TA558已经开始使用社会工程学的电子邮件来引诱受害者点击恶意链接或文件。这些电子邮件,最常见的是用葡萄牙语或西班牙语写的,通常声称是关于酒店的预订等信息。主题行或所附文件的名称通常只是 "reserva"。
在他们早期的攻击利用中,该组织会将利用微软Word的方程编辑器中的漏洞,例如CVE-2017-11882,这是一个远程代码执行漏洞。其目的是下载一个RAT,最常见的是Loda或Revenge RAT,将其下载到目标机上。
2019年,该组织扩大了它的攻击武器库,有了恶意的带有宏的Powerpoint附件和针对Office文档的模板注入的攻击方式。他们还使用了新的语言,首次利用了英语钓鱼诱饵。
2020年初是TA558最多产的时期,因为他们仅在1月份就发起了25次恶意攻击活动。在此期间,他们主要使用带有宏的Office文件,或针对已知的Office漏洞进行攻击。
研究人员建议,各组织,特别是那些在拉丁美洲、北美和西欧运作的组织,特别应该了解这个攻击者使用的战术、技术和程序。
本文翻译自:https://threatpost.com/reservation-links-prey-on-travelers/180462/如若转载,请注明原文地址。