黑客新闻网站透露,研究人员发现了一个以经济为动机的网络犯罪集团,该集团与针对拉丁美洲酒店和旅游机构的持续攻击浪潮有关。经过研究人员的详细分析,发现其主要目的是在受感染系统上安装恶意软件。该团伙早在2018年4月就作为一个小型犯罪威胁组织活跃起来。据报道,该犯罪团伙自2018年以来一直使用一致的策略、技术和程序,试图在受害者系统上安装各种恶意软件,包括LodaRAT、Vjw0rm和RevengeRAT。直到2022年,TA558网络犯罪组织开始逐渐加快行动步伐,入侵的主要目标是拉丁美洲的葡萄牙语和西班牙语国家,少量入侵西欧和北美地区。据了解,该组织发起的网络钓鱼活动涉及发送以预订为主题的恶意垃圾邮件,例如包含武器化文档或URL的酒店预订,以引诱毫无戒心的用户安装具有侦察、数据窃取和分发能力的恶意软件。负载特洛伊木马。值得一提的是,多年来这些攻击发生了微妙的变化,2018年至2021年期间的攻击活动主要利用VBA宏或CVE-2017-11882和CVE-2017-8570等漏洞通过电子邮件下载Word文档并安装混合恶意软件,例如如AsyncRAT、LodaRAT、RevengeRAT和Vjw0rm等。最近几个月,研究人员观察到TA558从包含宏的MicrosoftOffice附件转变为支持URL和ISO文件以进行初始感染,这可能是为了响应Microsoft决定默认阻止从Web下载的文件中的宏。到2022年为止,TA558组织已经进行了51次攻击,其中27次包含指向ISO文件和ZIP存档的URL。相比之下,从2018年到2021年,总共只有五场这样的赛事。Proofpoint进一步指出,TA558记录的入侵是针对拉丁美洲地区受害者的更广泛恶意活动的一部分。在没有任何违规后活动的情况下,有理由怀疑TA558是一个出于经济动机的网络犯罪攻击者。最后,研究人员强调,TA558组织使用的恶意软件可以窃取酒店用户的信用卡数据,允许横向移动,并提供后续有效载荷。攻击者的网络入侵可能导致公司和客户数据被盗,以及其他潜在的经济损失。
