Uzun süredir aktif olan TA558 siber saldırı grubu, seyahat ve konaklama sektörünü hedef alan kampanyalarını hızlandırdı. COVID-19 kısıtlamalarının kalkmasıyla artan seyahat talebini fırsat bilen grup, sahte rezervasyon e-postaları kullanarak kullanıcıları tuzağa düşürüyor. Proofpoint araştırmacılarına göre, bu e-postalardaki bağlantılara tıklayanlar, çeşitli kötü amaçlı yazılımları indiren sayfalara yönlendiriliyor.
TA558'in 2018'den bu yana aktif olduğu ve özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'daki seyahat şirketlerini hedef aldığı biliniyor. Grup, daha önce Microsoft Word belgelerindeki güvenlik açıklarını kullanırken, son kampanyalarında ISO ve RAR dosyalarına yöneldi. Bu değişiklik, Microsoft'un 2021 sonunda Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararına bağlanıyor.
Proofpoint raporuna göre, sahte rezervasyon e-postaları, ISO veya RAR dosyalarına yönlendiren bağlantılar içeriyor. Bu dosyalar açıldığında, AsyncRAT gibi uzaktan erişim truva atları (RAT) sisteme bulaşıyor. Araştırmacılar, 'Rezervasyon bağlantısı... bir ISO dosyasına ve gömülü bir batch dosyasına yol açtı. BAT dosyasının çalıştırılması, AsyncRAT'yi indiren bir PowerShell betiğini tetikledi' ifadeleriyle saldırı vektörünü açıklıyor.
Teknik Analiz
TA558 grubunun asıl amacı finansal kazanç sağlamak. Çalınan verileri kullanarak daha büyük saldırılar düzenleyen grup, seyahat sektöründeki şirketlerin yanı sıra müşterilerini de hedef alıyor. Proofpoint tehdit araştırmaları başkan yardımcısı Sherrod DeGrippo, 'Bu sektördeki kuruluşlar, bu aktörün faaliyetlerinin farkında olmalı ve kendilerini korumak için önlem almalıdır' uyarısında bulunuyor. Uzmanlar, özellikle rezervasyon e-postalarındaki bağlantılara karşı dikkatli olunmasını ve şüpheli eklerin açılmamasını tavsiye ediyor.