TA558 olarak sınıflandırılan bilgisayar korsanları, bu yılın başından beri faaliyetlerini artırıyor. TA558 grubu tarafından yürütülen ve bir dizi otel ve seyahat şirketini hedefleyen kimlik avı kampanyalarının sayısında artış oldu.
Tehdit aktörleri, aşağıdakileri yapması amaçlanan, çoğunlukla RAT’ler olmak üzere 15 farklı kötü amaçlı yazılım ailesinden yararlanır:-
- Hedef sistemlere erişim kazanın
- Düzenli olarak gözetim yapmak
- Anahtar verilerin çalınması
- Müşterileri paralarıyla dolandırmak
Proofpoint, son zamanlarda, en az 2018’den beri aktif olan TA558 ile ilişkili saldırıların sayısında bir artış gördü. COVID-19 kısıtlamalarının iki yıl boyunca uygulanmasından sonra turizmin toparlanması muhtemeldir.
Otel & Seyahat Organizasyonlarına Yönelik Kampanyalar
TA558, 2022 yılında phishing e-postalarında mesajlardaki makro-bağlı belgeler yerine RAR ve ISO dosya eklerini kullanmaya başladı. TA558 ayrıca iletilere ekler yerine URL’ler yerleştirdi.
Microsoft’un Office’te VBA ve XL4 makrolarını engelleme kararı, benzer değişikliklerin diğer tehdit aktörlerinde de görülmesine neden oldu. Geleneksel olarak bilgisayar korsanları tarafından aşağıdaki amaçlar için kullanılmıştır: –
- Kötü amaçlı yazılım yükleniyor
- Kötü amaçlı yazılım bırakma
- Kötü amaçlı yazılım yükleme
Bulaşma zincirini başlatan kimlik avı e-postalarında kullanılan İngilizce, İspanyolca ve Portekizce olmak üzere üç dil vardır.
Hedeflerinin çoğu aşağıdaki ülkelerde bulunuyor:-
- Kuzey Amerika
- Batı Avrupa
- Latin Amerika
E-postalarda asıl konu, hedeflenen kuruluşta rezervasyon yaptırmaktır. Bu tür e-postalar, alıcıların göz ardı etmesi zor olan konferans organizatörleri ve turizm ofisi acenteleri gibi saygın kaynaklardan geldiği iddiasıyla gönderilir.
Kurban, mesaj gövdesindeki URL’ye tıklarsa, uzak bir kaynaktan bir ISO dosyası alınacaktır. Mesajdaki URL, rezervasyon bağlantısı olduğunu iddia ediyor ve sözde mesaja eklenmiş.
Arşivin içinde, yürütüldüğünde bir PowerShell betiğine adım atan bir toplu iş dosyası vardır. Komut dosyası çalıştığı sürece kurbanın bilgisayarında RAT yükünü tutmak için komut dosyası tarafından zamanlanmış bir görev oluşturulur.
BAT dosyasını yürüttükten sonra bir PowerShell betiğinden yürütülmek üzere sunucuda bir takip yükü olan AsyncRAT’ın indirilmesini içeriyordu.
Bu yıl çoğu durumda, tehdit aktörleri aşağıdaki yükü kullandı:-
Küçük ölçekte olsa da, tehdit aktörleri aşağıdaki yükleri kullandı:-
- İntikam Sıçan
- XtremeRAT
- YakalaTela
- BluStealer
Proofpoint’in bu yıl gözlemlediği vakaların çoğunda, yük AsyncRAT veya Loda iken, Revenge RAT, XtremeRAT, CaptureTela ve BluStealer da daha küçük bir ölçekte dağıtıldı.
2022 kampanyası için oda rezervasyonlarını bir cazibe olarak kullanmak yerine, bir kampanya QuickBooks faturalarını kullandı. RAT kötü amaçlı yazılımı otelin sistemlerini tehlikeye atar, bu nedenle TA558 ağa daha derine girer ve aşağıdakiler gibi hassas bilgileri çalar:-
- müşteri kimlik bilgileri
- Saklanan kredi kartı bilgileri
- Depolanan banka kartı ayrıntıları
- Rezervasyon ödemelerini yönlendir
Temmuz 2022’de Portekiz, Lizbon’daki The Marino Boutique Hotel’in Booking.com hesabının hacklendiği tespit edildi. Hacker’ın otelin saldırıya uğramış hesabından 500.000 €’luk ağır bir parayı çalması sadece dört gün sürdü.
Ayrıca Okuyun: Uzaktan Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz E-Kitap İndirme