Μια ομάδα από hackers που παρακολουθούνται ως TA558 πραγματοποιεί καμπάνιες phishing που στοχεύουν πολλά ξενοδοχεία και εταιρείες στον χώρο φιλοξενίας και ταξιδιών με σκοπό τη μόλυνση με malware. Οι επιτιθέμενοι χρησιμοποιούν ένα σύνολο 15 διαφορετικών malware, τα οποία είναι συνήθως trojans που επιτρέπουν την απομακρυσμένη πρόσβαση (RAT). Χρησιμοποιώντας αυτά τα malware μπορούν να αποκτήσουν πρόσβαση στα συστήματα-στόχους, να κατασκοπεύσουν τους χρήστες, να κλέψουν βασικά δεδομένα και να αποσπάσουν χρήματα από τους πελάτες των ξενοδοχείων/εταιρειών.
Η ομάδα TA558 είναι ενεργή τουλάχιστον από το 2018, αλλά η Proofpoint παρατήρησε αυξημένη δραστηριότητα τώρα, που πιθανότατα συνδέεται με την ανάκαμψη του τουρισμού μετά από δύο χρόνια περιορισμών λόγω του COVID-19.
Δείτε επίσης: Επίσημη απάντηση από τον ΔΕΣΦΑ για την κυβερνοεπίθεση!
Phishing καμπάνιες της TA558
Το 2022, οι hackers TA558 έπαψαν να χρησιμοποιούν έγγραφα με κακόβουλες μακροεντολές στις phishing καμπάνιες τους και υιοθέτησαν συνημμένα αρχεία RAR και ISO ή ενσωματωμένα URL στα μηνύματα.
Αυτή η αλλαγή (η οποία παρατηρήθηκε και από άλλες hacking ομάδες) έρχεται ως απάντηση στην απόφαση της Microsoft να αποκλείσει τις μακροεντολές VBA και XL4 στο Office, τις οποίες χρησιμοποιούσαν πάντα οι hackers για φόρτωση και εγκατάσταση κακόβουλου λογισμικού μέσω κακόβουλων εγγράφων.
Τα phishing emails των hackers TA558 είναι γραμμένα στα αγγλικά, τα ισπανικά και τα πορτογαλικά και στοχεύουν εταιρείες ταξιδιών και ξενοδοχεία στη Βόρεια Αμερική, τη Δυτική Ευρώπη και τη Λατινική Αμερική.
Τα θέματα των phishing emails περιστρέφονται γύρω από την πραγματοποίηση μιας κράτησης στην εταιρεία-στόχο και υποτίθεται ότι προέρχονται από διοργανωτές συνεδρίων, πράκτορες τουριστικών γραφείων και άλλες πηγές που οι παραλήπτες δεν μπορούν εύκολα να απορρίψουν.
Όπως είπαμε, οι hackers χρησιμοποιούν τώρα URL που τα ενσωματώνουν στα μηνύματα. Τα θύματα που κάνουν κλικ στη διεύθυνση URL στο σώμα του μηνύματος (μια διεύθυνση που υποτίθεται ότι είναι σύνδεσμος κράτησης) θα λάβουν ένα αρχείο ISO από έναν απομακρυσμένο πόρο.
Δείτε επίσης: 35 Εφαρμογές Android malware βρέθηκαν στο Google Play Store
Το αρχείο περιέχει ένα batch file που εκκινεί ένα PowerShell script το οποίο τελικά εγκαθιστά το RAT payload στον υπολογιστή του θύματος και δημιουργεί ένα προγραμματισμένο task για persistence.
Στις περισσότερες από τις phishing επιθέσεις της TA558 που παρατήρησε φέτος η Proofpoint, το payload ήταν το AsyncRAT ή Loda, ενώ το Revenge RAT, το XtremeRAT, το CaptureTela και το BluStealer αναπτύχθηκαν επίσης σε μικρότερη κλίμακα. Για παράδειγμα, μια πρόσφατη καμπάνια χρησιμοποίησε ως δόλωμα κάποια τιμολόγια QuickBooks αντί για κρατήσεις δωματίων και μόλυνε τα συστήματα αποκλειστικά με το Revenge RAT.
Αφού παραβιάσουν συστήματα ξενοδοχείων με RAT malware, οι hackers TA558 κινούνται βαθύτερα στο δίκτυο για να κλέψουν δεδομένα πελατών, να αποθηκεύσουν στοιχεία πιστωτικών καρτών και να τροποποιήσουν τους ιστότοπους που απευθύνονται σε πελάτες για να εκτρέψουν τις πληρωμές κρατήσεων.
Τον Ιούλιο του 2022, παραβιάστηκε ο λογαριασμός στην Booking.com του The Marino Boutique Hotel στη Λισαβόνα της Πορτογαλίας και ο εισβολέας έκλεψε 500.000 ευρώ σε τέσσερις ημέρες από ανυποψίαστους πελάτες που πλήρωσαν για να κλείσουν δωμάτιο. Δεν είναι ξεκάθαρο αν η ομάδα TA558 σχετίζεται με την παραπάνω επίθεση (δεν έχει αποδειχθεί κάτι). Ωστόσο, οι μέθοδοι επίθεσης ταιριάζουν με αυτές των συγκεκριμένων hackers. Αυτή η επίθεση δείχνει ξεκάθαρα πώς οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν έσοδα από την πρόσβασή τους σε συστήματα ξενοδοχείων.
Δείτε επίσης: NSO Group: Ο δημιουργός του Pegasus αλλάζει CEO και σχεδιάζει απολύσεις
Επιπλέον, οι hackers TA558 θα μπορούσαν να κερδίσουν χρήματα πουλώντας ή χρησιμοποιώντας τα στοιχεία κλεμμένων πιστωτικών καρτών, πουλώντας προσωπικά στοιχεία, εκβιάζοντας άτομα υψηλού προφίλ ή πουλώντας πρόσβαση στο δίκτυο του παραβιασμένου ξενοδοχείου σε συμμορίες ransomware.
Η αυξημένη δραστηριότητα της συγκεκριμένης ομάδας ενδέχεται να οφείλεται στην επανέναρξη των τουριστικών δραστηριοτήτων. Οι περιορισμοί της πανδημίας COVID-19 σε όλο τον κόσμο ήταν λιγότερο αυστηροί κατά τη διάρκεια του καλοκαιριού και πολλοί άνθρωποι άρχισαν να ταξιδεύουν.
Από το 2018, η TA558 είναι ένας ενεργός παράγοντας απειλής που στοχεύει τη βιομηχανία φιλοξενίας και των ταξιδιών και άλλους κλάδους που σχετίζονται με αυτούς τους τομείς.
Πηγή: www.bleepingcomputer.com