Seyahat sektörü, pandemi sonrası artan hareketlilikle birlikte siber saldırganların yeni hedefi haline geldi. Uzun süredir aktif olan TA558 kod adlı tehdit grubu, 2018'den beri turizm ve konaklama sektörüne yönelik saldırılar düzenliyor. COVID-19 kısıtlamaları nedeniyle bir süre sessiz kalan grup, seyahatlerin yeniden canlanmasıyla birlikte sahte rezervasyon e-postalarıyla kullanıcıları tuzağa düşürmeye başladı. Proofpoint güvenlik araştırmacılarının raporuna göre, bu kampanyalar özellikle RAR ve ISO dosya ekleri kullanmasıyla dikkat çekiyor.
TA558'in yeni taktiği, kullanıcılara gönderilen sahte rezervasyon bağlantılarıyla çalışıyor. Kurban, e-postadaki bağlantıya tıkladığında bir ISO veya RAR dosyası indiriyor. Bu dosyalar, içinde sıkıştırılmış çalıştırılabilir dosyalar barındırıyor. Dosya açıldığında, bir PowerShell betiği devreye girerek AsyncRAT gibi uzaktan erişim truva atlarını (RAT) sisteme yüklüyor. Proofpoint, 2022 yılında TA558'in 27 farklı kampanyada URL kullandığını, oysa 2018-2021 arasında toplamda sadece 5 kampanya yürüttüğünü belirtiyor. Bu, grubun saldırı hızını ciddi şekilde artırdığını gösteriyor.
Peki neden RAR ve ISO dosyaları? Araştırmacılar, Microsoft'un 2021 sonu ve 2022 başında Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararının bu değişikliğe yol açtığını düşünüyor. Daha önce Word belgelerindeki makrolar (CVE-2017-11882 gibi güvenlik açıkları) üzerinden saldıran grup, artık sıkıştırılmış dosyaları tercih ediyor. Bu dosyalar, kullanıcı tarafından manuel olarak açılmadığı sürece zararsız görünüyor, ancak bir kez çalıştırıldığında kötü amaçlı yazılım serbest kalıyor.
TA558'in kullandığı zararlı yazılım çeşitliliği de dikkat çekiyor. Loda, Revenge RAT ve AsyncRAT gibi RAT'lar, saldırganlara uzaktan erişim, veri hırsızlığı ve ek yükler dağıtma imkanı sağlıyor. Proofpoint, grubun finansal motivasyonlu olduğunu ve çaldığı verileri para kazanmak için kullandığını belirtiyor. Şirketin tehdit araştırma direktörü Sherrod DeGrigpo, 'TA558'in saldırıları yalnızca turizm şirketlerini değil, aynı zamanda bu şirketlerin müşterilerini de etkileyebilir. Sektördeki kuruluşlar bu tehdide karşı önlem almalı' uyarısında bulunuyor.
Grubun hedef coğrafyası ağırlıklı olarak Latin Amerika, Kuzey Amerika ve Batı Avrupa. E-postalar genellikle Portekizce veya İspanyolca yazılmış olup, konu satırında veya ek dosya adında 'reserva' (rezervasyon) kelimesini kullanıyor. 2018'de başlayan saldırılar, başlangıçta Microsoft Word'ün Denklem Düzenleyicisi'ndeki güvenlik açıklarını hedef alırken, 2019'da PowerPoint makroları ve şablon enjeksiyonlarına geçiş yapıldı. 2020'nin başında grup, sadece Ocak ayında 25 kampanya düzenleyerek en yoğun dönemini yaşadı.
Sistem Güvenliği
Kullanıcıların bu tür saldırılardan korunması için bazı pratik önlemler bulunuyor. Öncelikle, beklenmedik rezervasyon e-postalarındaki bağlantılara tıklamamak ve ekleri açmamak gerekiyor. E-postanın gönderici adresi dikkatlice kontrol edilmeli; resmi otel veya havayolu şirketlerinin alan adları taklit edilebilir. Ayrıca, işletmeler için e-posta güvenlik çözümleri, RAR ve ISO dosyalarını tarayarak zararlı içerikleri engelleyebilir. Son olarak, sistemlerin güncel tutulması ve makro tabanlı saldırılara karşı Office ayarlarının sıkılaştırılması öneriliyor.
TA558, tehdit aktörleri arasında sürekli evrim geçiren bir yapıya sahip. 2018'den bu yana taktiklerini değiştirerek güncel savunma mekanizmalarını aşmayı başarıyor. Özellikle pandemi sonrası seyahat sektörünün yeniden canlanması, bu tür saldırıların daha da artabileceğini gösteriyor. Turizm şirketleri ve seyahat eden bireylerin bu konuda bilinçli olması, veri hırsızlığı ve maddi kayıpların önüne geçmek için kritik öneme sahip.
Kaynak: threatpost.com