Finansal olarak motive olmuş bir siber suç grubu, Latin Amerika’daki konaklama, otel ve seyahat kuruluşlarını hedef alan ve güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım yüklemek amacıyla devam eden bir saldırı dalgasıyla bağlantılı.
Nisan 2018’e kadar TA558 adı altında grubu takip eden kurumsal güvenlik firması Proofpoint, grubu “küçük suç tehdidi aktörü” olarak nitelendirdi.
Şirketin tehdit araştırma ekibi, “2018’den beri bu grup, Loda RAT, Vjw0rm ve Revenge RAT dahil olmak üzere çeşitli kötü amaçlı yazılımları yüklemeye çalışmak için tutarlı taktikler, teknikler ve prosedürler kullandı.” söz konusu yeni bir raporda.
Grup, 2022’de normalden daha yüksek bir tempoda faaliyet gösteriyor ve izinsiz girişler çoğunlukla Latin Amerika’daki Portekizce ve İspanyolca konuşanlara ve daha az ölçüde Batı Avrupa ve Kuzey Amerika’ya yönelikti.
Grup tarafından düzenlenen kimlik avı kampanyaları, farkında olmayan kullanıcıları keşif, veri hırsızlığı ve sonraki yükleri dağıtabilen truva atları yüklemeye ikna etmek amacıyla silahlı belgeler veya URL’ler içeren otel rezervasyonları gibi rezervasyon temalı cazibelerle kötü niyetli spam mesajları göndermeyi içerir. .
Saldırılar yıllar içinde ustaca gelişti: 2018 ve 2021 arasında tespit edilenler, VBA makroları içeren veya aşağıdakiler gibi kusurlar için istismarlar içeren Word belgelerine sahip e-postalardan yararlandı. CVE-2017-11882 ve CVE-2017-8570 AsyncRAT, Loda RAT, Revenge RAT ve Vjw0rm gibi kötü amaçlı yazılımların bir karışımını indirmek ve yüklemek için.
Ancak son aylarda TA558’in makro yüklü Microsoft Office eklerinden uzaklaşarak URL’ler ve ISO dosyaları lehine döndüğü gözlemlendi. .
Grup tarafından bu yıl şimdiye kadar yürütülen 51 kampanyadan 27’sinin, 2018’den 2021’e kadar toplamda yalnızca beş kampanyaya kıyasla, ISO dosyalarına ve ZIP arşivlerine işaret eden URL’ler içerdiği söyleniyor.
Proofpoint ayrıca TA558 kapsamında kayıt altına alınan izinsiz girişlerin bir daha geniş Ayarlamak nın-nin kötü niyetli faaliyetler Latin Amerika bölgesindeki kurbanlara odaklanıyor. Ancak herhangi bir uzlaşma sonrası faaliyetin yokluğunda, TA558’in finansal olarak motive edilmiş bir siber suç aktörü olduğundan şüpheleniliyor.
Araştırmacılar, “TA558 tarafından kullanılan kötü amaçlı yazılım, otel müşterisi kullanıcı ve kredi kartı verileri de dahil olmak üzere verileri çalabilir, yanal harekete izin verebilir ve takip eden yükler sağlayabilir” dedi. “Bu aktör tarafından yürütülen faaliyetler, hem kurumsal hem de müşteri verilerinin çalınmasına ve olası finansal kayıplara yol açabilir.”