Sahte seyahat rezervasyonları, halihazırda iptal edilen uçuşların ve fazla rezervasyon yapılan otellerin sefaletiyle uğraşan seyahat yorgunu için daha fazla acı yaratıyor.
TA558 olarak tanımlanan uzun süreli bir tehdit grubu, seyahat ve konaklama endüstrilerini hedefleme çabalarını artırdı. COVID ile ilgili seyahat kısıtlamalarına bağlı olduğuna inanılan faaliyetlerdeki durgunluğun ardından tehdit grubu, seyahat ve ilgili havayolu ve otel rezervasyonlarındaki artıştan yararlanmak için kampanyalarını hızlandırdı.
Uyarılar, TA558 siber suçlularının 2018 kampanyalarını, tıklandığında kötü amaçlı yazılım çeşitleri içeren kötü amaçlı bir zararlı yazılım yükü dağıtan bağlantılar içeren sahte rezervasyon e-postalarıyla yenilediklerini söyleyen güvenlik araştırmacılarından geliyor.
Proofpoint tarafından hazırlanan bir rapora göre, bu son kampanyayı benzersiz kılan şey, mesajlara bağlı RAR ve ISO dosya eklerinin kullanılmasıdır. ISO ve RAR, çalıştırıldığında içlerindeki dosya ve klasör verilerinin sıkıştırmasını açan tek sıkıştırılmış dosyalardır.
Proofpoint, "TA558, URL'leri 2022'de daha sık kullanmaya başladı. TA558, 2018'den 2021'e kadar toplam yalnızca beş kampanyaya kıyasla 2022'de URL'li 27 kampanya yürüttü. Tipik olarak URL'ler, ISO'lar gibi kapsayıcı dosyalara veya yürütülebilir dosyalar içeren zip [RAR] dosyalarına yol açtı," diye yazdı Proofpoint.
Virüsün bulaşması için, hedeflenen kurbanın dosya arşivinin sıkıştırmasını açması için kandırılması gerekir. Araştırmacılar, "Rezervasyon bağlantısı... bir ISO dosyasına ve gömülü bir toplu iş dosyasına yol açtı. BAT dosyasının yürütülmesi, bir takip yükü olan AsyncRAT'ı indiren bir PowerShell yardımcı komut dosyasına yol açtı" diye yazdı.
Seyahat Programınızı Kötü Amaçlı Yazılım Bulaşma Durumuna Yükseltin
Proofpoint'e göre, Palo Alto Networks (2018'de), Cisco Talos (2020 ve 2021'de) ve Uptycs (2020'de) tarafından takip edilen geçmiş TA558 kampanyaları, kötü amaçlı Microsoft Word belge eklerinden (CVE-2017-11882) veya uzak şablon URL'lerinden yararlanarak kötü amaçlı yazılım indirip yükledi.
Araştırmacılar, ISO ve RAR dosyalarına geçişin "muhtemelen Microsoft'un 2021 sonlarında ve 2022 başlarında Office ürünlerinde makroların [VBA ve XL4] varsayılan olarak devre dışı bırakılmasına ilişkin duyurularından kaynaklandığını" söyledi.
Araştırmacılar, "2022'de kampanya temposu önemli ölçüde arttı. Kampanyalar, Loda, Revenge RAT ve AsyncRAT gibi kötü amaçlı yazılımların bir karışımını sundu. Bu aktör, URL'ler, RAR ekleri, ISO ekleri ve Office belgeleri dahil olmak üzere çeşitli dağıtım mekanizmaları kullandı" diye yazdı.
Proofpoint, son kampanyalardaki kötü amaçlı yazılım yüklerinin genellikle keşif, veri hırsızlığı ve takip eden yüklerin dağıtımını mümkün kılan uzaktan erişim truva atlarını (RAT'lar) içerdiğini söyledi.
Ancak tüm evrimler boyunca grubun hedefi her zaman aynı kaldı. Analistler, TA558'in finansal olarak motive olduğu, çalınan verileri ölçeklendirmek ve para çalmak için kullandığı "orta ila yüksek güvenle" sonucuna vardı. Proofpoint'teki tehdit araştırma ve tespit kuruluşlarından sorumlu başkan yardımcısı Sherrod DeGrippo, yaptığı açıklamada, "Olası uzlaşmalar hem seyahat endüstrisindeki kuruluşları hem de bunları tatil için kullanan potansiyel müşterileri etkileyebilir" dedi. "Bu ve ilgili sektörlerdeki kuruluşlar bu aktörün faaliyetlerinden haberdar olmalı ve kendilerini korumak için önlemler almalıdır."
TA558’in Tarihçesi
TA558, en az 2018'den bu yana öncelikle seyahat, konaklama ve ilgili endüstrilerdeki kuruluşları hedef alıyor. Bu kuruluşlar genellikle Latin Amerika'da, bazen de Kuzey Amerika veya Batı Avrupa'da bulunmaktadır.
TA558, geçmişi boyunca mağdurları kötü amaçlı bağlantılara veya belgelere tıklamaya ikna etmek için sosyal mühendislikle tasarlanmış e-postalar kullanmıştır. Çoğunlukla Portekizce veya İspanyolca yazılan bu e-postaların genellikle otel rezervasyonlarıyla ilgili olduğu iddia ediliyordu. Ekteki belgenin konu satırı veya adı genellikle basitçe "rezervasyon" şeklindeydi.
Grup, ilk istismarlarında Microsoft Word'ün Denklem Düzenleyicisi'ndeki güvenlik açıklarından (örneğin, uzaktan kod yürütme hatası olan CVE-2017-11882) yararlanacaktı. Amaç, hedef makineye bir RAT (en yaygın olarak Loda veya Revenge RAT) indirmekti.
2019 yılında
grup, kötü amaçlı makro bağlantılı Powerpoint ekleri ve Office belgelerine şablon yerleştirmeyle cephaneliğini genişletti. Ayrıca ilk kez İngilizce kimlik avı tuzaklarından yararlanarak yeni demografik özelliklere de yayıldılar.
Yalnızca Ocak ayında 25 kötü amaçlı kampanyayı seri halinde yayınlayan TA558, 2020'nin başlarını en verimli dönemi olarak gördü. Bu dönemde ağırlıklı olarak makro yüklü Office belgelerini kullandılar veya bilinen Office açıklarını hedef aldılar.
Araştırmacılar, "Özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'da hedeflenen sektörlerde faaliyet gösteren kuruluşlar, bu aktörün taktiklerinin, tekniklerinin ve prosedürlerinin farkında olmalıdır" tavsiyesinde bulunuyor.