Konaklama, otel ve seyahat organizasyonlarını hedef alan başka bir tehdit aktörü, yoğun yaz seyahat sezonunda yeniden ortaya çıktı: TA558 adlı daha küçük, finansal olarak motive olmuş bir oyuncu.
Proofpoint’in yeni araştırmasına göre, grup 2018’den beri var ama bu yıl saldırılarını artırarak Latin Amerika’da bulunan Portekizce ve İspanyolca konuşanların yanı sıra Batı Avrupa ve Kuzey Amerika’daki hedefleri hedef alıyor.
İspanyolca, Portekizce ve ara sıra İngilizce e-postalar, kötü niyetli ekler veya URL’ler dağıtmak için işle ilgili temalara (otel odası rezervasyonları gibi) sahip rezervasyon temalı yemler kullanır.
Proofpoint araştırmacıları, keşif, veri hırsızlığı ve takip eden kötü amaçlı yazılımların dağıtımını sağlayabilen, en sık uzaktan erişim Truva Atları (RAT’lar) olmak üzere 15 farklı kötü amaçlı yazılım yükü saymıştır.
Bu kötü amaçlı yazılım aileleri, zaman zaman Loda, Vjw0rm, AsyncRAT ve Revenge RAT dahil olmak üzere en sık gözlemlenen yükler ile komut ve kontrol (C2) alanlarıyla çakışır.
Rapor, son yıllarda TA558’in taktikleri değiştirdiğini ve kötü amaçlı yazılım dağıtmak için URL’leri ve kapsayıcı dosyalarını kullanmaya başladığını açıklıyor.
“TA558, 2022’de URL’leri daha sık kullanmaya başladı. TA558, 2018’den 2021’e kadar toplam beş kampanyaya kıyasla, 2022’de URL’lerle 27 kampanya yürüttü” rapora göre. “Tipik olarak, URL’ler, yürütülebilir dosyaları içeren ISO’lar veya zip dosyaları gibi kapsayıcı dosyalara yol açtı.”
Proofpoint’te tehdit araştırma ve algılama başkan yardımcısı Sherrod DeGrippo, bunun Microsoft’un varsayılan olarak İnternet’ten indirilen VBA makrolarını engellemeye başlayacağını duyurmasına yanıt olarak olabileceğini açıklıyor.
Dark Reading’e, “Proofpoint onları ilk kez 2018’de tanımladığından beri aynı cazibe temalarını, dili ve hedeflemeyi kullanmaları bakımından bu aktör benzersizdir” diyor.
Ancak, taktikleri, teknikleri ve prosedürleri (TTP’ler) sıklıkla değiştirdiklerini ve faaliyetleri boyunca farklı kötü amaçlı yazılım yükleri kullandıklarını belirtiyor.
“Bu, aktörün, çeşitli tehdit aktörleri tarafından yaygın olarak kullanılan taktikleri ve kötü amaçlı yazılımları kullanarak, ilk enfeksiyona ulaşmada en iyi veya en etkili olanı aktif olarak değiştirdiğini ve yanıt verdiğini gösteriyor” diyor.
Tehdit ortamındaki birçok tehdit aktörü gibi TA558’in de eklerdeki makrolardan uzaklaşarak kötü amaçlı yazılımları dağıtmak için diğer dosya türlerini ve URL’leri kullanmaya geçtiğini açıklıyor.
“Bu endüstrileri hedefleyen diğer aktörlerin daha önce tanımladığımız benzer teknikleri kullanması muhtemeldir” diyor.
Tehdit aktörleri, kötü amaçlı yazılımları iletmek için doğrudan mesajlara eklenen makro etkin belgelerden uzaklaştı ve giderek artan şekilde ISO ve RAR ekleri ve Windows Kısayol (LNK) dosyaları gibi kapsayıcı dosyalarını kullanıyor.
DeGrippo, bu yıl TA558’deki faaliyet artışının, genel olarak seyahat/otelcilik sektörlerini hedefleyen faaliyetlerde bir artışın göstergesi olmadığını söylüyor.
“Ancak, bu sektörlerdeki kuruluşlar, raporda açıklanan TTP’lerden haberdar olmalı ve çalışanların, kimlik avı girişimlerini tespit edip rapor etmeleri için eğitilmesini sağlamalıdır” diye tavsiyede bulunuyor.
Tehdit Aktörlerinin Hedefinde Seyahat Sektörü
PerimeterX’in Temmuz ayında yayınladığı bir rapora göre, sektör COVID-19’dan kurtulduğu için seyahatle ilgili web sitelerine yönelik saldırılar aylar önce artmaya başladı ve Avrupa ve Asya’da rekabetçi kazıma robotu talepleri çarpıcı bir şekilde arttı.
TransUnion’un son üç aylık analizine göre, koronavirüs pandemisi geri çekilip tüketiciler yıllık tatil planlarına devam etmeye çalışırken, dolandırıcılar çabalarını finansal hizmetlerden seyahat ve eğlence sektörlerine yeniden odaklıyorlar.
Bu yıl, seyahatle ilgili web sitelerinden çalınan çalıntı kimlik bilgileri ve diğer hassas kişisel bilgileri satan çok sayıda siber suç grubu tespit edildi ve kişisel olarak tanımlanabilir bilgilere odaklanma nedeniyle kötü niyetli aktörlerin yöntemleri gelişti.