TA558 olarak izlenen bir bilgisayar korsanı, bu yıl faaliyetlerini artırarak konaklama ve seyahat alanında birden fazla otel ve firmayı hedef alan kimlik avı kampanyaları yürüttü.
Tehdit aktörü, hedef sistemlere erişim sağlamak, gözetleme yapmak, önemli verileri çalmak ve nihayetinde müşterilerden para çekmek için genellikle uzaktan erişim truva atları (RAT’ler) olmak üzere bir dizi 15 farklı kötü amaçlı yazılım ailesi kullanır.
TA558, en az 2018’den beri aktiftir, ancak kanıt noktası son zamanlarda faaliyetlerinde, muhtemelen iki yıllık COVID-19 kısıtlamalarının ardından turizmin canlanmasıyla bağlantılı bir artış gördü.
Son TA558 kampanyaları
2022’de TA558, oltalama e-postalarında makro bağlantılı belgeler kullanmaktan vazgeçti ve mesajlarda RAR ve ISO dosya eklerini veya gömülü URL’leri benimsedi.
Benzer değişiklikler yapıldı diğer tehdit aktörleriyle birlikte görüldü cevap olarak Microsoft’un VBA ve XL4 makrolarını engelleme kararına Bilgisayar korsanlarının geçmişte kötü amaçlı belgeler aracılığıyla kötü amaçlı yazılımları yüklemek, bırakmak ve yüklemek için kullandığı Office’te.
Bulaşma zincirini başlatan kimlik avı e-postaları, Kuzey Amerika, Batı Avrupa ve Latin Amerika’daki şirketleri hedefleyen İngilizce, İspanyolca ve Portekizce olarak yazılır.
E-posta konuları, konferans organizatörlerinden, turizm ofisi acentelerinden ve alıcıların kolayca reddedemeyeceği diğer kaynaklardan geliyormuş gibi davranarak hedef kuruluşta rezervasyon yapma etrafında döner.
Bir rezervasyon bağlantısı olduğu iddia edilen mesaj gövdesindeki URL’yi tıklayan mağdurlar, uzak bir kaynaktan bir ISO dosyası alacaktır.
Arşiv, sonunda RAT yükünü kurbanın bilgisayarına bırakan ve kalıcılık için zamanlanmış bir görev oluşturan bir PowerShell betiği başlatan bir toplu iş dosyası içerir.
Proofpoint’in bu yıl gözlemlediği vakaların çoğunda, yük AsyncRAT veya Loda iken, Revenge RAT, XtremeRAT, CaptureTela ve BluStealer da daha küçük bir ölçekte dağıtıldı.
Örneğin, bir 2022 kampanyası, oda rezervasyonları yerine QuickBooks fatura cazibelerini kullandı ve yalnızca Revenge RAT’ı düşürdü.
Otel sistemlerini RAT kötü amaçlı yazılımıyla tehlikeye atan TA558, müşteri verilerini çalmak, kredi kartı ayrıntılarını saklamak ve müşteriye yönelik web sitelerini rezervasyon ödemelerini yönlendirmek için değiştirmek için ağın daha derinlerine iner.
Temmuz 2022’de Portekiz, Lizbon’daki Marino Boutique Hotel, Booking.com hesabını hackledi ve davetsiz misafir 500.000€ çaldı bir oda ayırtmak için ödeme yapan şüpheli olmayan müşterilerden dört gün içinde.
Bu durumda TA558’in katılımı kanıtlanmamış olsa da, tehdit aktörünün TTP’leri ve hedefleme kapsamı ile eşleşir ve en azından otel sistemlerine erişimlerinden nasıl para kazanabileceklerine dair bir örnek verir.
TA558’in para kazanmasının diğer yolları, çalınan kredi kartı ayrıntılarını satmak veya kullanmak, müşteri PII’sini satmak, yüksek faizli kişilere şantaj yapmak veya güvenliği ihlal edilmiş otelin ağına erişimi fidye yazılımı çetelerine satmak olabilir.