TA558 olarak izlenen bir hacker, bu yıl faaliyetlerini artırdı ve misafirperverlik ve seyahat alanında birden fazla otel ve firmayı hedefleyen kimlik avı kampanyaları yürüttü.
Tehdit oyuncusu, hedef sistemlere erişmek, gözetim yapmak, anahtar verileri çalmak ve sonunda müşterilerden parayı sifonlamak için genellikle uzaktan erişim truva atları (sıçanlar) olmak üzere 15 farklı kötü amaçlı yazılım ailesi kullanır.
TA558 en az 2018'den beri aktif, ancak Proofpoint yakın zamanda faaliyetlerinde, muhtemelen iki yıllık Covid-19 kısıtlamalarından sonra turizmin toparlanmasıyla bağlantılı bir artış gördü.
2022'de TA558, kimlik avı e-postalarında makro bağcıklı belgeler kullanmaktan geçti ve mesajlara RAR ve ISO dosya eklerini veya gömülü URL'leri benimsedi.
Microsoft'un ofiste VBA ve XL4 makrolarını bloke etme kararına yanıt olarak diğer tehdit aktörlerinde de benzer değişiklikler görülmüştür ve bilgisayar korsanlarının kötü amaçlı belgeler aracılığıyla kötü amaçlı yazılımları yüklemek, bırakmak ve kurmak için kullanılmıştır.
Enfeksiyon zincirini başlatan kimlik avı e -postaları, Kuzey Amerika, Batı Avrupa ve Latin Amerika'daki şirketleri hedefleyen İngilizce, İspanyol ve Portekizce yazılmıştır.
E -posta konuları, konferans organizatörlerinden, turizm ofis ajanlarından ve alıcıların kolayca reddedemeyeceği diğer kaynaklardan geliyormuş gibi, hedef kuruluş hakkında bir rezervasyon yapmak etrafında dönüyor.
Rezervasyon bağlantısı olduğu iddia edilen mesaj gövdesindeki URL'yi tıklayan kurbanlar, uzak bir kaynaktan bir ISO dosyası alacaktır.
Arşiv, sonunda sıçan yükünü kurbanın bilgisayarına bırakan ve kalıcılık için planlanmış bir görev oluşturan bir PowerShell komut dosyası başlatan bir toplu iş dosyası içerir.
Bu yıl gözlemlenen vakaların çoğunda, yük Asyncrat veya Loda iken, Revenge Rat, Xtremerat, CaptureTela ve Blustealer da daha küçük ölçekte konuşlandırıldı.
Örneğin, bir 2022 kampanyası, oda rezervasyonları yerine QuickBooks fatura lures kullandı ve intikam sıçanını sadece bıraktı.
Sıçan kötü amaçlı yazılımlı otel sistemlerinden ödün vermiş olan TA558, müşteri verilerini çalmak, kredi kartı ayrıntılarını saklamak ve rezervasyon ödemelerini yönlendirmek için istemciye dönük web sitelerini değiştirmek için ağın derinliklerine doğru hareket eder.
Temmuz 2022'de Portekiz, Lizbon'daki Marino Boutique Hotel, Booking.com hesabını hackledi ve davetsiz misafir, oda rezervasyonu yapmak için ödeme yapan şüphesiz müşterilerden dört gün içinde 500.000 € çaldı.
TA558'in katılımı, bu durumda kanıtlanmış olmasa da, tehdit oyuncunun TTP'leri ve hedefleme kapsamıyla eşleşir ve en azından otel sistemlerine erişimlerinden nasıl para kazanabileceklerine bir örnek verir.
TA558'in para kazanmasının diğer yolları, çalınan kredi kartı detaylarını satmak veya kullanmak, müşteri PII, şantaj yüksek faizli bireyler satmak veya uzlaşmış otel ağına fidye yazılımı çetelerine erişim satmak olacaktır.
Kuzey Koreli hackerlar, Konni Rat kötü amaçlı yazılımlarla AB hedeflerine saldırıyor
Android Emulator Tedarik Zinciri Saldırısı, Oyuncuları Kötü Yazılımla Hedefliyor
Hacker, Küba fidye yazılımı saldırılarında yeni sıçan kötü amaçlı yazılım kullanıyor
Bilgisayar korsanları, kılıf sitelerinden kredi kartlarını nasıl çalıyor?
Rus organizasyonları New Woody Rat Kötü Yazılımlarla Saldırdı
Kaynak: Bleeping Computer