一个名为TA558的持续威胁组织最近加强了对旅游和酒店业的网络攻击。由于与COVID相关的旅行限制,在经历了活动平静期后,该威胁组织加强了活动,利用旅客旅行以及相关航空公司和酒店预订产生的流量红利。安全研究人员警告说,TA558网络犯罪分子在2018年通过发送包含恶意链接的虚假预订电子邮件改进了他们的攻击,如果点击这些链接,就会下载包含大量恶意软件变体的恶意软件负载。根据Proofpoint的一份报告,这次最新活动的独特之处在于攻击者使用了与电子邮件相关的RAR和ISO文件附件。ISO和RAR是单个压缩文件。如果直接执行,文件和文件夹将被解压。Proofpoint写道,TA558在2022年开始更频繁地使用URL,他们在2022年进行了27次使用URL的活动,而从2018年到2021年总共只有5次活动。要完成主机感染过程,目标受害者必须解压缩文件研究人员写道。保留链接...以下载ISO文件和嵌入式批处理文件。BAT文件的执行会导致另一个辅助PowerShell脚本的执行,该脚本还会下载后续有效负载AsyncRAT。运输公司可能已感染恶意软件根据Proofpoint,PaloAltoNetworks(2018年)、CiscoTalos(2020年和2021年)和Uptycs(2020年)跟踪的过去TA558活动利用恶意MicrosoftWord文档附件(CVE-2017-11882)或用于下载和安装恶意软件的远程模板URL。研究人员表示,攻击向量向ISO和RAR文件的转变可能与微软在2021年底和2022年初宣布在Office产品中默认禁用宏VBA和XL4有关。2022年,攻击活动的节奏明显加快。这些活动提供混合的恶意软件,例如Loda、RevengeRAT和AsyncRAT。研究人员写道,攻击者使用了多种传递机制,包括URL、RAR附件、ISO附件和Office文档。Proofpoint表示,近期活动中的恶意软件有效载荷通常包括远程访问木马(RAT),它们可以进行侦察、数据窃取和分发后续有效载荷。然而,尽管有许多演变,该组织的攻击目标从未改变。分析师得出的结论是,攻击者信心十足,TA558出于经济动机使用窃取的数据来扩大攻击规模。Proofpoint的威胁研究和检测组织副总裁SherrodDeGrippo在一份声明中写道,它可能的妥协可能会影响旅游业和使用它度假的客户。这些行业及相关行业的组织应该意识到这种攻击者的活动所造成的危害,并及时采取防护措施来保护自己。TA558的历史至少从2018年开始,TA558主要针对旅游、酒店和相关行业的组织。这些组织往往位于拉丁美洲,有时位于北美或西欧。纵观其历史,TA558一直使用社会工程电子邮件来引诱受害者点击恶意链接或文件。这些电子邮件通常以葡萄牙语或西班牙语撰写,通常声称与酒店预订等有关。主题行或附件的名称通常只是“reserva”。在他们的早期攻击中,该组织利用了MicrosoftWord公式编辑器中的漏洞,例如CVE-2017-11882,这是一个远程代码执行漏洞。其目的是将RAT(最常见的是Loda或RevengeRAT)下载到目标机器上。2019年,该组织扩大了攻击范围,增加了恶意宏载Powerpoint附件和针对Office文档的模板注入。他们还使用了一种新的语言,第一次使用英文鱼饵。2020年初是TA558最多产的时期,因为他们仅在1月就发起了25次恶意活动。在此期间,他们主要使用带有宏的Office文件,或利用已知的Office漏洞。研究人员建议组织,特别是那些在拉丁美洲、北美和西欧运营的组织,特别注意这个攻击者使用的策略、技术和程序。本文翻译自:https://threatpost.com/reservation-links-prey-on-travelers/180462/如有转载请注明出处。
