Finansal olarak motive olmuş bir siber suç grubu, Latin Amerika’daki konaklama, otel ve seyahat kuruluşlarını hedef alan ve güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım yüklemek amacıyla devam eden bir saldırı dalgasıyla bağlantılıdır.
Nisan 2018’e kadar TA558 adı altında grubu takip eden kurumsal güvenlik firması Proofpoint, grubu “küçük bir suç tehdidi aktörü” olarak nitelendirdi.
Şirketin tehdit araştırma ekibi yeni bir raporda, “2018’den beri bu grup, Loda RAT, Vjw0rm ve Revenge RAT dahil olmak üzere çeşitli kötü amaçlı yazılımları yüklemeye çalışmak için tutarlı taktikler, teknikler ve prosedürler kullandı.” Dedi.
Grup, 2022’de normalden daha yüksek bir tempoda faaliyet gösteriyor ve izinsiz girişler çoğunlukla Latin Amerika’daki Portekizce ve İspanyolca konuşanlara ve daha az ölçüde Batı Avrupa ve Kuzey Amerika’ya yönelikti.
Grup tarafından düzenlenen kimlik avı kampanyaları, farkında olmayan kullanıcıları keşif, veri hırsızlığı ve sonraki yükleri dağıtabilen truva atları yüklemeye ikna etmek amacıyla silahlı belgeler veya URL’ler içeren otel rezervasyonları gibi rezervasyon temalı cazibelerle kötü niyetli spam mesajları göndermeyi içerir. .
Saldırılar yıllar içinde ustaca gelişti: 2018 ve 2021 arasında tespit edilenler, VBA makroları içeren Word belgelerine sahip e-postalardan yararlandı ya da CVE-2017-11882 ve CVE-2017-8570 gibi açıklardan yararlananlardan yararlandı. AsyncRAT, Loda RAT, Revenge RAT ve Vjw0rm gibi kötü amaçlı yazılımlar.
Ancak son aylarda TA558’in makro yüklü Microsoft Office eklerinden uzaklaşarak URL’ler ve ISO dosyaları lehine döndüğü gözlemlendi. .
Grup tarafından bu yıl şimdiye kadar yürütülen 51 kampanyadan 27’sinin, 2018’den 2021’e kadar toplamda yalnızca beş kampanyaya kıyasla, ISO dosyalarına ve ZIP arşivlerine işaret eden URL’ler içerdiği söyleniyor.
Proofpoint ayrıca, TA558 kapsamında kaydedilen izinsiz girişlerin, Latin Amerika bölgesindeki kurbanlara odaklanan daha geniş bir dizi kötü niyetli faaliyetin parçası olduğunu kaydetti. Ancak herhangi bir uzlaşma sonrası faaliyetin yokluğunda, TA558’in finansal olarak motive edilmiş bir siber suç aktörü olduğundan şüpheleniliyor.
Araştırmacılar, “TA558 tarafından kullanılan kötü amaçlı yazılım, otel müşterisi kullanıcı ve kredi kartı verileri de dahil olmak üzere verileri çalabilir, yanal harekete izin verebilir ve takip eden yükleri sağlayabilir” dedi. “Bu aktör tarafından yürütülen faaliyetler, hem kurumsal hem de müşteri verilerinin çalınmasına ve olası finansal kayıplara yol açabilir.”