Seyahatseverler için kabus devam ediyor: Uçuş iptalleri ve otel fazla rezervasyonlarıyla boğuşan gezginler, şimdi de siber saldırganların hedefi oldu. Uzun süredir aktif olan TA558 kodlu tehdit grubu, COVID-19 kısıtlamalarının ardından seyahatlerin artmasıyla birlikte yeniden hortladı. Güvenlik araştırmacıları, grubun 2018'deki kampanyalarını güncelleyerek sahte rezervasyon e-postaları gönderdiğini ve tıklanan bağlantıların çeşitli kötü amaçlı yazılımlar yüklediğini bildiriyor.
Proofpoint'in raporuna göre, bu son kampanyayı farklı kılan şey, e-postalara eklenen RAR ve ISO dosyaları. Bu sıkıştırılmış dosyalar, çalıştırıldığında içindeki verileri açıyor ve genellikle AsyncRAT gibi uzaktan erişim truva atlarını (RAT) indiriyor. Araştırmacılar, 'Rezervasyon bağlantısı bir ISO dosyasına ve gömülü bir toplu iş dosyasına yönlendiriyor. BAT dosyasının çalıştırılması, PowerShell yardımcı betiği aracılığıyla AsyncRAT yüklüyor' ifadelerini kullandı. TA558'ın ISO ve RAR dosyalarına yönelmesinin, Microsoft'un 2021-2022'de Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararından kaynaklandığı düşünülüyor.
TA558'ın kampanyaları genellikle Loda, Revenge RAT ve AsyncRAT gibi kötü amaçlı yazılımları dağıtıyor. Hedefler arasında Latin Amerika, Kuzey Amerika ve Batı Avrupa'daki seyahat ve konaklama sektörleri bulunuyor. Grup, sahte rezervasyon e-postalarını Portekizce veya İspanyolca yazarken, 2019'dan itibaren İngilizce tuzaklar da kullanmaya başladı. Proofpoint'in tehdit araştırmaları başkan yardımcısı Sherrod DeGrippo, 'TA558'ın finansal motivasyonlu olduğunu ve çalınan verilerle para kazandığını yüksek güvenle söyleyebiliriz. Bu saldırılar hem seyahat şirketlerini hem de müşterilerini etkileyebilir' dedi.
Gelecekte Ne Bekleniyor?
Seyahat ve konaklama sektöründeki kuruluşların TA558'ın taktiklerine karşı dikkatli olması gerekiyor. Araştırmacılar, şüpheli e-postalardaki bağlantılara tıklanmamasını ve dosya eklerinin açılmamasını tavsiye ediyor. Ayrıca, güvenlik yazılımlarının güncel tutulması ve çalışanların siber güvenlik konusunda eğitilmesi önem taşıyor. TA558, 2018'den bu yana aktif ve sürekli evrim geçiriyor; bu nedenle kuruluşların tehdit istihbaratını takip etmesi hayati önemde.