Seyahat etmek, özellikle pandemi sonrası dönemde, iptal edilen uçuşlar ve aşırı rezervasyon yapılan otellerle dolu bir kabusa dönüşebiliyor. İşte tam da bu kaos ortamında, siber suçlular devreye giriyor. Uzun süredir aktif olan TA558 kodlu tehdit grubu, yorgun gezginlerin zaaflarından yararlanmak için sahte rezervasyon e-postalarıyla yeni bir kampanya başlattı. Bu kampanyada, kullanıcıları kandırmak için ikna edici görünen rezervasyon bağlantıları kullanılıyor. Ancak bağlantıya tıklanması durumunda, cihaza bir dizi kötü amaçlı yazılım bulaşıyor.
Proofpoint güvenlik araştırmacılarına göre, TA558 grubu 2018'den bu yana seyahat ve konaklama sektörünü hedef alıyor. COVID-19 kısıtlamaları nedeniyle bir süre sessiz kalan grup, seyahatlerin yeniden canlanmasıyla birlikte saldırılarını hızlandırdı. En son kampanyada, daha önceki yöntemlerden farklı olarak, e-postalara eklenen RAR ve ISO dosyaları kullanılıyor. Bu dosyalar, tıklandığında içlerindeki sıkıştırılmış verileri açarak kötü amaçlı yazılımı çalıştırıyor. Bu yöntem, özellikle Microsoft'un 2021 sonu ve 2022 başında Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararının ardından popüler hale geldi.
TA558'un kullandığı sahte rezervasyon e-postaları genellikle Portekizce veya İspanyolca yazılmış olup, konu satırında veya ekli belge adında 'reserva' (rezervasyon) ibaresi yer alıyor. E-postadaki bağlantıya tıklayan kurban, bir ISO dosyası indiriyor. Bu dosyanın içinde gizlenmiş bir BAT (toplu işlem) dosyası, PowerShell yardımcı betiğini çalıştırarak AsyncRAT adlı uzaktan erişim truva atını (RAT) indiriyor. AsyncRAT, saldırganlara kurbanın cihazında keşif yapma, veri çalma ve ek yükler indirme imkanı tanıyor.
Proofpoint, TA558'un 2022'de saldırı temposunu önemli ölçüde artırdığını belirtiyor. 2018-2021 yılları arasında sadece 5 kampanya düzenleyen grup, 2022'de 27 kampanya gerçekleştirdi. Bu kampanyalarda Loda, Revenge RAT ve AsyncRAT gibi farklı kötü amaçlı yazılım türleri kullanıldı. Grup, hedef kitlesini de genişleterek ilk kez İngilizce yem e-postaları kullanmaya başladı. Bu değişiklikler, TA558'un Latin Amerika'nın yanı sıra Kuzey Amerika ve Batı Avrupa'daki kuruluşları da hedef aldığını gösteriyor.
Önemli Gelişmeler
TA558'un geçmişine bakıldığında, grubun 2018'den bu yana sürekli olarak seyahat, konaklama ve ilgili sektörlerdeki kuruluşları hedef aldığı görülüyor. İlk dönemlerinde Microsoft Word'ün Denklem Düzenleyicisi'ndeki (CVE-2017-11882) bir güvenlik açığından yararlanan grup, 2019'da makro içeren PowerPoint ekleri ve Office belgelerine şablon enjeksiyonu gibi yeni teknikler kullanmaya başladı. 2020'nin başları ise grubun en üretken dönemiydi; sadece Ocak ayında 25 kampanya düzenlediler. Proofpoint araştırmacıları, TA558'un finansal motivasyonlu olduğunu ve çalınan verileri para kazanmak için kullandığını belirtiyor.
Proofpoint Tehdit Araştırma ve Tespit Direktörü Sherrod DeGrippo, 'Bu grubun faaliyetleri hem seyahat sektöründeki kuruluşları hem de bu hizmetleri kullanan müşterileri etkileyebilir. Bu ve benzeri sektörlerdeki kuruluşlar, bu aktörün taktiklerinin farkında olmalı ve kendilerini korumak için önlem almalıdır' uyarısında bulunuyor. TA558'un hedef aldığı kuruluşlar arasında oteller, havayolları ve seyahat acenteleri bulunuyor. Ancak bireysel kullanıcılar da bu saldırılardan etkilenebiliyor.
Seyahat edenlerin bu tür saldırılardan korunmak için bazı önlemler alması gerekiyor. Öncelikle, beklenmedik rezervasyon e-postalarındaki bağlantılara tıklamaktan kaçının. E-postanın gerçekliğini doğrulamak için otelin veya havayolunun resmi web sitesini ziyaret edin. Ayrıca, ISO veya RAR gibi sıkıştırılmış dosya eklerini açmadan önce dikkatli olun. Güvenlik yazılımlarınızı güncel tutun ve bilinmeyen kaynaklardan gelen dosyaları çalıştırmayın. Kurumsal kullanıcılar için ise, e-posta güvenlik çözümleri ve kullanıcı farkındalık eğitimleri hayati önem taşıyor.
Kaynak: threatpost.com