RevengeHotels新攻击活动：利用LLM和VenomRAT瞄准拉丁美洲酒店业

背景

RevengeHotels（又称TA558）是一个自2015年起活跃的黑客组织，专门窃取酒店客人和旅客的信用卡数据。该组织的作案手法包括发送带有钓鱼链接的电子邮件，将受害者重定向到模仿文档存储的网站，这些网站随后会下载脚本文件，最终感染目标机器。

在之前的攻击活动中，该组织被观察到使用带有Word、Excel或PDF文档附件的恶意电子邮件。其中一些利用了CVE-2017-0199漏洞，加载VBS或PowerShell脚本来安装不同RAT家族的定制版本。

RevengeHotels使用的主要攻击向量是带有发票主题的钓鱼邮件，敦促收件人结算逾期付款。这些邮件专门针对与酒店预订相关的电子邮件地址。

恶意网站在被访问时会下载WScript JS文件，触发感染过程。该脚本似乎由大型语言模型生成，其特点是代码整洁有序、带有详细注释，并且缺乏混淆。

加载程序脚本执行后，会解码一个经过混淆和编码的缓冲区，作为加载剩余恶意植入物的下一步。这个缓冲区被保存到一个PowerShell文件中，然后被执行。

VenomRAT是开源QuasarRAT的演变版本，首次发现于2020年中，在暗网上出售。根据供应商网站，VenomRAT提供了一系列功能，包括HVNC隐藏桌面、文件抓取器和窃取器、反向代理和UAC利用等。

VenomRAT具有反查杀保护机制。该RAT调用名为EnableProtection的函数，修改恶意进程的安全描述符，移除可能妨碍RAT正常运行的任何权限。

VenomRAT使用自定义的数据包构建和序列化机制与C2服务器建立网络连接。每个数据包都针对RAT采取的特定操作进行定制。

VenomRAT还具有通过USB驱动器传播的能力。它会扫描从C到M的驱动器字母，检查每个驱动器是否可移动。如果检测到可移动驱动器，RAT会将自己复制到所有可用驱动器上。

除了将自己复制到另一个目录并更改可执行文件名外，VenomRAT还采用了多种隐蔽技术，包括删除Zone.Identifier流和清除Windows事件日志。

RevengeHotels攻击的主要目标仍然是酒店和前台，重点是位于巴西的机构。但威胁行为者一直在调整策略，钓鱼邮件现在也开始使用葡萄牙语以外的语言。

RevengeHotels显著增强了其能力，开发了新的策略来针对酒店和旅游行业。在LLM代理的帮助下，该组织能够生成和修改他们的钓鱼诱饵，将攻击扩展到新的地区。

fbadfff7b61d820e3632a2f464079e8c Fat146571.js
d5f241dee73cffe51897c15f36b713cc SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
1077ea936033ee9e9bf444dafb55867c cargajecerrr.txt
b1a5dc66f40a38d807ec8350ae89d1e4 cargajecerrr.txt
dbf5afa377e3e761622e5f21af1f09e6 runpe.txt
607f64b56bb3b94ee0009471f1fe9a3c venumentrada.txt
3ac65326f598ee9930031c17ce158d3d 去混淆的runpe.txt
91454a68ca3a6ce7cb30c9264a88c0dc 去混淆的venumentrada.txt