安全動(dòng)態(tài)

網(wǎng)絡(luò)犯罪組織 TA558 針對(duì)酒店、賓館和旅游機(jī)構(gòu)展開(kāi)攻擊

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-08-23    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

The Hacker News 網(wǎng)站披露,研究人員發(fā)現(xiàn)一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪集團(tuán),與針對(duì)拉丁美洲酒店和旅游機(jī)構(gòu)的持續(xù)攻擊浪潮有關(guān)。經(jīng)研究人員詳細(xì)分析后發(fā)現(xiàn),其主要目的是在受感染的系統(tǒng)上安裝惡意軟件。1661146367_630314ff3690617b455cc.jpg!small

該犯罪團(tuán)伙最早活躍可追溯到 2018 年 4 月,是一個(gè)小型犯罪威脅攻擊組織。一份報(bào)告中顯示,這個(gè)犯罪團(tuán)伙自 2018 年以來(lái),使用一致的戰(zhàn)術(shù)、技術(shù)和程序,試圖在受害者系統(tǒng)上,安裝包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在內(nèi)的各種惡意軟件。

直到 2022 年,TA558 網(wǎng)絡(luò)犯罪組織的行動(dòng)節(jié)奏開(kāi)始逐漸加快,入侵的主要對(duì)象是拉丁美洲的葡萄牙語(yǔ)和西班牙語(yǔ)使用者,在西歐和北美的入侵程度較低。

據(jù)悉,該組織發(fā)起的網(wǎng)絡(luò)釣魚(yú)活動(dòng)包括發(fā)送帶有預(yù)訂主題誘餌的惡意垃圾郵件消息,例如包含武器化文檔或 URL 的酒店預(yù)訂,以誘使不知情的用戶(hù)安裝能夠偵察、數(shù)據(jù)盜竊和分發(fā)后續(xù)有效負(fù)載的木馬。

值得一提的是,多年來(lái)這些攻擊發(fā)生了微妙的演變,在 2018 年至 2021 年之間發(fā)現(xiàn)的攻擊活動(dòng),主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文檔的電子郵件下載和安裝混合惡意軟件,例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。1661146383_6303150f4a86033496a5a.jpg!small

最近幾個(gè)月,研究人員觀察到 TA558 從包含宏的 Microsoft Office 附件轉(zhuǎn)向支持 URL 和 ISO 文件以實(shí)現(xiàn)初始感染,此舉可能是為了響應(yīng)微軟決定在默認(rèn)情況下阻止從 Web 下載的文件中的宏。

2022 年截止到目前為止,TA558 組織已經(jīng)開(kāi)展 51 次攻擊活動(dòng),其中有 27 次包含了指向 ISO 文件和 ZIP 檔案的 URL。相比之下,從 2018 年到 2021 年,總共只有 5 次類(lèi)似活動(dòng)。

Proofpoint 進(jìn)一步指出,TA558 所記錄的入侵行為是其廣泛的惡意活動(dòng)的一部分,重點(diǎn)是拉丁美洲地區(qū)的受害者。由于沒(méi)有任何入侵后的活動(dòng),有理由懷疑 TA558 是一個(gè)有經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪攻擊者。1661146389_63031515863fa4739f5cf.jpg!small

最后,研究人員強(qiáng)調(diào),TA558 組織使用的惡意軟件可以竊取酒店用戶(hù)的信用卡數(shù)據(jù),允許橫向移動(dòng),并提供后續(xù)有效載荷。攻擊者進(jìn)行網(wǎng)絡(luò)入侵活動(dòng)可能導(dǎo)致公司和客戶(hù)的數(shù)據(jù)被盜,以及其它潛在的財(cái)務(wù)損失。參考文章:https://thehackernews.com/2022/08/cybercrime-group-ta558-targeting.html

 
 

上一篇:csv_vul_plugins_202208

下一篇:美國(guó)擬立法禁止采購(gòu)有漏洞軟件,“引爆”網(wǎng)絡(luò)安全行業(yè)