虚假预订链接瞄准疲惫旅客 | Threatpost

虚假旅行预订正给本已因航班取消和酒店超售而疲惫不堪的旅客带来更多痛苦。

一个被识别为TA558的长期威胁组织加大了对旅行和酒店业的攻击力度。在因COVID相关旅行限制而活动减少后，该威胁组织利用旅行及相关航空和酒店预订的增长加大了攻击活动。

安全研究人员警告称，TA558网络犯罪分子已改进了他们2018年的攻击活动，通过包含链接的虚假预订电子邮件——如果点击——会传递包含多种恶意软件变体的恶意负载。

根据Proofpoint的报告，这次最新攻击活动的独特之处在于使用了与消息链接的RAR和ISO文件附件。ISO和RAR是单个压缩文件，如果执行，会解压缩其中的文件和文件夹数据。

“TA558在2022年开始更频繁地使用URL。TA558在2022年进行了27次带有URL的攻击活动，而2018年至2021年总共只有五次。通常，URL会指向容器文件，如ISO或包含可执行文件的zip [RAR]文件，”Proofpoint写道。

要感染，目标受害者需要被诱骗解压缩文件存档。“预订链接…指向一个ISO文件和一个嵌入的批处理文件。执行BAT文件会导致一个PowerShell辅助脚本下载后续负载AsyncRAT，”研究人员写道。

升级您的行程至恶意软件感染状态

根据Proofpoint，过去的TA558活动（由Palo Alto Networks在2018年跟踪，Cisco Talos在2020年和2021年，以及Uptycs在2020年）利用了恶意的Microsoft Word文档附件（CVE-2017-11882）或远程模板URL来下载和安装恶意软件。

转向ISO和RAR文件“可能是由于微软在2021年底和2022年初宣布在Office产品中默认禁用宏[VBA和XL4]，”研究人员说。

“在2022年，攻击节奏显著增加。活动传递了多种恶意软件，如Loda、Revenge RAT和AsyncRAT。这个行为者使用了多种传递机制，包括URL、RAR附件、ISO附件和Office文档，”研究人员写道。

Proofpoint表示，近期活动的恶意软件负载通常包括远程访问木马（RAT），可以实现侦察、数据盗窃和后续负载的分发。

尽管经历了所有演变，该组织的目标始终如一。分析师以“中到高置信度”得出结论，TA558是出于经济动机，使用被盗数据来扩大规模并窃取资金。“其可能的妥协可能会影响旅行行业的组织以及可能使用它们度假的客户，”Proofpoint威胁研究和检测组织副总裁Sherrod DeGrippo在一份声明中写道。“这些及相关行业的组织应意识到这个行为者的活动，并采取预防措施保护自己。”

TA558的历史

至少自2018年以来，TA558主要针对旅行、酒店及相关行业的组织。这些组织往往位于拉丁美洲，有时在北美或西欧。

在整个历史中，TA558使用社会工程电子邮件诱使受害者点击恶意链接或文档。这些电子邮件——最常见的是用葡萄牙语或西班牙语编写——通常声称与酒店预订有关。主题行或附件文档的名称通常简单地为“reserva”。

在早期的攻击中，该组织会利用Microsoft Word Equation Editor中的漏洞——例如，CVE-2017-11882，一个远程代码执行错误。目标是下载一个RAT——最常见的是Loda或Revenge RAT——到目标机器。

2019年，该组织扩展了其武器库，使用恶意的宏 laden Powerpoint附件和对Office文档的模板注入。他们还扩展到新的人口统计，首次使用英语网络钓鱼诱饵。

2020年初是TA558最多产的时期，仅在一月份就推出了25次恶意活动。在此期间，他们主要使用宏 laden Office文档或针对已知的Office漏洞。

“组织，尤其是在拉丁美洲、北美和西欧目标行业运营的组织，应意识到这个行为者的战术、技术和程序，”研究人员建议。