最近一個被稱為TA558的持續威脅組織加強了針對旅游和酒店行業的網絡攻擊。在經歷了因COVID相關的旅行限制，導致攻擊活動停滯之后，該威脅集團加大了攻擊的活動力度，利用旅客旅行和相關的航空公司以及酒店預訂量的上升所帶來的流量紅利。

安全研究人員警告說，TA558網絡犯罪分子改進了他們在2018年的攻擊方式，他們通過發送包含惡意鏈接的虛假預訂郵件，如果用戶點擊，那么就會下載一個惡意軟件有效載荷，其中就包含大量的惡意軟件變種。

根據Proofpoint的一份報告，最近這次攻擊活動的獨特之處在于攻擊者使用了與郵件相關的RAR和ISO文件附件。ISO和RAR是單一的壓縮文件，如果直接執行的話，就會解壓其中的文件和文件夾中的數據。

Proofpoint寫道，TA558在2022年開始更頻繁地使用URL，他們在2022年進行了27次帶有URLs的活動，然而從2018年到2021年則總共只有5次攻擊活動。

研究人員寫道，如果要完成主機感染的過程，目標受害者必須要去解壓文件檔案。保留鏈接......下載一個ISO文件和一個嵌入式批處理文件。BAT文件的執行會導致另一個PowerShell輔助腳本的執行，同樣該腳本會下載一個后續的有效載荷AsyncRAT。

交通運輸公司可能已經被惡意軟件感染

據Proofpoint稱，過去由Palo Alto Networks（2018年）、Cisco Talos（2020年和2021年）和Uptycs（2020年）追蹤的TA558的攻擊活動，利用了惡意的微軟Word文檔附件（CVE-2017-11882）或遠程模板URL來下載和安裝惡意軟件。

研究人員說，攻擊載體向ISO和RAR文件的轉變，可能是和微軟在2021年底和2022年初宣布在Office產品中默認禁用宏VBA和XL4有關。

在2022年，攻擊活動的節奏明顯加快。這些攻擊活動都會提供一個混合的惡意軟件，如：Loda、Revenge RAT和AsyncRAT。研究人員寫道，該行為人使用了各種交付機制，包括URL、RAR附件、ISO附件和Office文檔。

Proofpoint說，最近活動的惡意軟件有效載荷通常會包括遠程訪問木馬（RATs），可以實現偵察、數據盜竊和后續有效載荷的分發。

不過，盡管經過多次的演變，該組織的攻擊目標也始終沒有改變。分析師得出的結論是，攻擊者具有高度的自信心，TA558是出于經濟上的動機，利用偷來的數據來擴大攻擊規模。Proofpoint威脅研究和檢測組織副總裁Sherrod DeGrippo在一份聲明中寫道，其可能存在的妥協可能會影響到旅游行業以及使用其進行度假的客戶。這些行業和相關行業的組織應該意識到這個攻擊者活動所帶來的危害，并及時采取防護措施來保護自己。

TA558 的歷史

至少從2018年，TA558就開始主要針對旅游、酒店和相關行業領域的組織進行了攻擊。這些組織往往位于拉丁美洲，有時位于北美或西歐。

縱觀其歷史，TA558已經開始使用社會工程學的電子郵件來引誘受害者點擊惡意鏈接或文件。這些電子郵件，最常見的是用葡萄牙語或西班牙語寫的，通常聲稱是關于酒店的預訂等信息。主題行或所附文件的名稱通常只是 "reserva"。

在他們早期的攻擊利用中，該組織會將利用微軟Word的方程編輯器中的漏洞，例如CVE-2017-11882，這是一個遠程代碼執行漏洞。其目的是下載一個RAT，最常見的是Loda或Revenge RAT，將其下載到目標機上。

2019年，該組織擴大了它的攻擊武器庫，有了惡意的帶有宏的Powerpoint附件和針對Office文檔的模板注入的攻擊方式。他們還使用了新的語言，首次利用了英語釣魚誘餌。

2020年初是TA558最多產的時期，因為他們僅在1月份就發起了25次惡意攻擊活動。在此期間，他們主要使用帶有宏的Office文件，或針對已知的Office漏洞進行攻擊。

研究人員建議，各組織，特別是那些在拉丁美洲、北美和西歐運作的組織，特別應該了解這個攻擊者使用的戰術、技術和程序。

本文翻譯自：https://threatpost.com/reservation-links-prey-on-travelers/180462/如若轉載，請注明原文地址。