Cyber Tehditler ve Otel Sektörü
Son yıllarda, siber güvenlik tehditleri, özellikle otel sektörü üzerinde büyük bir etki yaratmaktadır. Yeni bir tehdit aktörü olan TA558, Brezilya ve İspanyolca konuşan pazarlardaki otellere yönelik çeşitli saldırılar düzenlemektedir. Kaspersky, bu grubun faaliyetlerini RevengeHotels adı altında takip etmekte ve 2025 yazında gözlemlenen saldırılardan bahsetmektedir. Bu saldırılar, otel sistemlerine sızmak ve müşterilerin kredi kartı bilgilerini ele geçirmek amacıyla düzenleniyor.
Phishing Saldırıları ve Kötü Amaçlı Yazılımlar
RevengeHotels, phishing e-postaları kullanarak, Venom RAT gibi çeşitli uzaktan erişim kötü amaçlı yazılımları (RAT) yaymakta. Bu e-postalar genellikle fatura temalı olup, JavaScript yükleyicileri ve PowerShell indiricileri aracılığıyla kötü amaçlı yazılımların yüklenmesine neden olmaktadır. Kaspersky’nin bulguları, siber suç gruplarının yapay zeka teknolojilerini kullanarak saldırılarını optimize ettiğini göstermektedir.
İlk Saldırılar ve Gelişim Süreci
Threat aktörü, 2015 yılından bu yana aktif olup, otel ve seyahat organizasyonlarına saldırılar düzenlemektedir. İlk kampanyalarında, ince ayar yapılmış Word, Excel veya PDF belgeleri içeren e-postalar göndermekteydi. Bu belgeler, Microsoft Office içindeki bilinen bir güvenlik açığını kullanarak kötü amaçlı yazılımların yayılmasına neden oluyordu.
Geçtiğimiz yıllarda yapılan güncellemelerle, agent Tesla, AsyncRAT, ve daha birçok RAT türü, bu saldırılarla birlikte kullanılmaya başlandı. Saldırının ana hedefi, otellere ait sistemlerde saklanan misafir kredi kartı verilerini ele geçirmektir.
Son Kampanyalar ve Saldırı Teknikleri
Kaspersky’nin raporuna göre, son kampanyalarda, Portekizce ve İspanyolca yazılmış phishing e-postaları, otel rezervasyonları ve iş başvurusu vaadiyle kurbanları kandırmayı amaçlamaktadır. Bu e-postalar aracılığıyla zararlı bağlantılara tıklanması sağlanmakta ve WScript JavaScript yüklemeleri yapılmaktadır.
Kötü amaçlı yazılımların temel işlevi, ardışık yüklemeleri destekleyen diğer betikleri yüklemektir. Burada bir PowerShell betiği, dış bir sunucudan “cargajecerrr.txt” adlı bir indirici alarak çalıştırmaktadır. İndirici ise, Venom RAT’ı başlatan iki ek yükleme dosyası alır.
Venom RAT ve Özellikleri
Venom RAT, açık kaynaklı Quasar RAT üzerine inşa edilmiş ticari bir araçtır. Lisansı ömür boyu 650 dolara satılmakta ve bir aylık bir abonelik, 350 dolar karşılığında sunulmaktadır. Venom RAT, veri çekme, ters proxy işlevi gerçekleştirme ve kesintisiz çalışmasını sağlamak amacıyla anti-kill koruma mekanizması içermektedir.
Kötü niyetli yazılım, çalıştığı süreçle ilişkili Discretionary Access Control List (DACL) üzerinde değişiklik yaparak, işleyişini engelleyebilecek izinleri kaldırmakta ve önceden belirlenmiş süreçleri sonlandırmaktadır. Kaspersky’ye göre, bu tür önlem alması, otel sistemlerinde güvenliği sağlamakla görevli kişileri hedef almakta olduğunu göstermektedir.
Anti-kill Özellikleri ve Dağıtım Yöntemleri
Venom RAT’in ikinci koruma önlemi, her 50 milisaniyede bir çalışan bir döngüye sahiptir. Bu döngü, sistem yöneticileri ve güvenlik analistleri tarafından kullanılan işlemleri hedef alarak, bu süreçleri sonlandırmaya çalışmaktadır. Ayrıca, kötü amaçlı yazılım, Windows Kayıt Defteri düzenlemeleri ile kalıcılık sağlamakta ve aktif olduğu süre boyunca işlemi yeniden çalıştırmaktadır.
Bir diğer dikkat çekici özelliği ise, kendisini kritik bir sistem süreci olarak işaretleyip, sona erdirilmesi durumunda yeniden çalışmasını sağlanmasıdır. Venom RAT, taşınabilir USB sürücüler aracılığıyla yayılma yeteneğine sahip olup, Microsoft Defender Antivirus sürecini sonlandırmakta ve güvenlik programını devre dışı bırakmak için görev zamanlayıcısına müdahale etmektedir.
Sektördeki Son Gelişmeler
RevengeHotels, otel ve turizm sektörlerine yönelik saldırılarını önemli ölçüde genişleten bir tehdit aktörüdür. LLM ajanlarının yardımıyla, phishing tuzaklarını oluşturma ve düzenleme becerilerini geliştirerek yeni bölgelere yayılmayı başarmıştır. Bu durum, otel yönetimlerinin ve misafirlerinin bilgi güvenliğinin sağlanması açısından büyük bir tehdit oluşturmaktadır.
Kaspersky, hala devam eden bu tehditler karşısında önlemler alınması gerektiğinin altını çizmektedir. Oteller, siber güvenlik stratejilerini güçlendirmeli ve phishing saldırılarına karşı bilinçlendirme çalışmalarını artırmalıdır.
