最近一個(gè)被稱為T(mén)A558的持續(xù)威脅組織加強(qiáng)了針對(duì)旅游和酒店行業(yè)的網(wǎng)絡(luò)攻擊。在經(jīng)歷了因COVID相關(guān)的旅行限制，導(dǎo)致攻擊活動(dòng)停滯之后，該威脅集團(tuán)加大了攻擊的活動(dòng)力度，利用旅客旅行和相關(guān)的航空公司以及酒店預(yù)訂量的上升所帶來(lái)的流量紅利。

安全研究人員警告說(shuō)，TA558網(wǎng)絡(luò)犯罪分子改進(jìn)了他們?cè)?018年的攻擊方式，他們通過(guò)發(fā)送包含惡意鏈接的虛假預(yù)訂郵件，如果用戶點(diǎn)擊，那么就會(huì)下載一個(gè)惡意軟件有效載荷，其中就包含大量的惡意軟件變種。

根據(jù)Proofpoint的一份報(bào)告，最近這次攻擊活動(dòng)的獨(dú)特之處在于攻擊者使用了與郵件相關(guān)的RAR和ISO文件附件。ISO和RAR是單一的壓縮文件，如果直接執(zhí)行的話，就會(huì)解壓其中的文件和文件夾中的數(shù)據(jù)。

Proofpoint寫(xiě)道，TA558在2022年開(kāi)始更頻繁地使用URL，他們?cè)?022年進(jìn)行了27次帶有URLs的活動(dòng)，然而從2018年到2021年則總共只有5次攻擊活動(dòng)。

研究人員寫(xiě)道，如果要完成主機(jī)感染的過(guò)程，目標(biāo)受害者必須要去解壓文件檔案。保留鏈接......下載一個(gè)ISO文件和一個(gè)嵌入式批處理文件。BAT文件的執(zhí)行會(huì)導(dǎo)致另一個(gè)PowerShell輔助腳本的執(zhí)行，同樣該腳本會(huì)下載一個(gè)后續(xù)的有效載荷AsyncRAT。

交通運(yùn)輸公司可能已經(jīng)被惡意軟件感染

據(jù)Proofpoint稱，過(guò)去由Palo Alto Networks（2018年）、Cisco Talos（2020年和2021年）和Uptycs（2020年）追蹤的TA558的攻擊活動(dòng)，利用了惡意的微軟Word文檔附件（CVE-2017-11882）或遠(yuǎn)程模板URL來(lái)下載和安裝惡意軟件。

研究人員說(shuō)，攻擊載體向ISO和RAR文件的轉(zhuǎn)變，可能是和微軟在2021年底和2022年初宣布在Office產(chǎn)品中默認(rèn)禁用宏VBA和XL4有關(guān)。

在2022年，攻擊活動(dòng)的節(jié)奏明顯加快。這些攻擊活動(dòng)都會(huì)提供一個(gè)混合的惡意軟件，如：Loda、Revenge RAT和AsyncRAT。研究人員寫(xiě)道，該行為人使用了各種交付機(jī)制，包括URL、RAR附件、ISO附件和Office文檔。

Proofpoint說(shuō)，最近活動(dòng)的惡意軟件有效載荷通常會(huì)包括遠(yuǎn)程訪問(wèn)木馬（RATs），可以實(shí)現(xiàn)偵察、數(shù)據(jù)盜竊和后續(xù)有效載荷的分發(fā)。

不過(guò)，盡管經(jīng)過(guò)多次的演變，該組織的攻擊目標(biāo)也始終沒(méi)有改變。分析師得出的結(jié)論是，攻擊者具有高度的自信心，TA558是出于經(jīng)濟(jì)上的動(dòng)機(jī)，利用偷來(lái)的數(shù)據(jù)來(lái)擴(kuò)大攻擊規(guī)模。Proofpoint威脅研究和檢測(cè)組織副總裁Sherrod DeGrippo在一份聲明中寫(xiě)道，其可能存在的妥協(xié)可能會(huì)影響到旅游行業(yè)以及使用其進(jìn)行度假的客戶。這些行業(yè)和相關(guān)行業(yè)的組織應(yīng)該意識(shí)到這個(gè)攻擊者活動(dòng)所帶來(lái)的危害，并及時(shí)采取防護(hù)措施來(lái)保護(hù)自己。

TA558 的歷史

至少?gòu)?018年，TA558就開(kāi)始主要針對(duì)旅游、酒店和相關(guān)行業(yè)領(lǐng)域的組織進(jìn)行了攻擊。這些組織往往位于拉丁美洲，有時(shí)位于北美或西歐。

縱觀其歷史，TA558已經(jīng)開(kāi)始使用社會(huì)工程學(xué)的電子郵件來(lái)引誘受害者點(diǎn)擊惡意鏈接或文件。這些電子郵件，最常見(jiàn)的是用葡萄牙語(yǔ)或西班牙語(yǔ)寫(xiě)的，通常聲稱是關(guān)于酒店的預(yù)訂等信息。主題行或所附文件的名稱通常只是 "reserva"。

在他們?cè)缙诘墓衾弥校摻M織會(huì)將利用微軟Word的方程編輯器中的漏洞，例如CVE-2017-11882，這是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。其目的是下載一個(gè)RAT，最常見(jiàn)的是Loda或Revenge RAT，將其下載到目標(biāo)機(jī)上。

2019年，該組織擴(kuò)大了它的攻擊武器庫(kù)，有了惡意的帶有宏的Powerpoint附件和針對(duì)Office文檔的模板注入的攻擊方式。他們還使用了新的語(yǔ)言，首次利用了英語(yǔ)釣魚(yú)誘餌。

2020年初是TA558最多產(chǎn)的時(shí)期，因?yàn)樗麄儍H在1月份就發(fā)起了25次惡意攻擊活動(dòng)。在此期間，他們主要使用帶有宏的Office文件，或針對(duì)已知的Office漏洞進(jìn)行攻擊。

研究人員建議，各組織，特別是那些在拉丁美洲、北美和西歐運(yùn)作的組織，特別應(yīng)該了解這個(gè)攻擊者使用的戰(zhàn)術(shù)、技術(shù)和程序。

本文翻譯自：https://threatpost.com/reservation-links-prey-on-travelers/180462/如若轉(zhuǎn)載，請(qǐng)注明原文地址。