![网络犯罪组织TA558针对酒店和旅游组织]( "网络犯罪组织TA558针对酒店和旅游组织")
一个出于经济动机的网络犯罪集团与针对拉丁美洲酒店、酒店和旅游组织的持续攻击浪潮有关,其目标是在受感染的系统上安装恶意软件。
企业安全公司 Proofpoint 一直以 TA558 的名义追踪该组织,该组织的历史可以追溯到 2018 年 4 月,称其为“小型犯罪威胁参与者”。
该公司的威胁研究团队在一份新报告中表示:“自 2018 年以来,该组织一直使用一致的策略、技术和程序来尝试安装各种恶意软件,包括 Loda RAT、Vjw0rm 和 Revenge RAT”。
该组织在 2022 年的运作速度比往常更快,入侵主要针对拉丁美洲的葡萄牙语和西班牙语使用者,而在西欧和北美的入侵程度较小。
该组织发起的网络钓鱼活动包括发送带有预订主题诱饵的恶意垃圾邮件消息,例如包含武器化文档或 URL 的酒店预订,以诱使不知情的用户安装能够侦察、数据盗窃和分发后续有效负载的木马.
多年来,这些攻击发生了微妙的演变:在 2018 年至 2021 年之间发现的攻击利用包含 VBA 宏或CVE-2017-11882和CVE-2017-8570等漏洞的 Word 文档的电子邮件下载和安装混合恶意软件,例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm。![网络犯罪组织TA558针对酒店和旅游组织]( "网络犯罪组织TA558针对酒店和旅游组织")
然而,近几个月来,人们观察到 TA558 从包含宏的 Microsoft Office 附件转向支持 URL 和 ISO 文件以实现初始感染,此举可能是为了响应微软决定在默认情况下阻止从 Web 下载的文件中的宏.
今年到目前为止,该组织开展的 51 次活动中,据说其中 27 次包含了指向 ISO 文件和 ZIP 档案的 URL,而从 2018 年到 2021 年总共只有 5 次活动。
Proofpoint 进一步指出,TA558 下记录的入侵是针对拉丁美洲地区受害者的更广泛 恶意活动的一部分。但在没有任何攻击后活动的情况下,怀疑 TA558 是一个有经济动机的网络犯罪分子。
![网络犯罪组织TA558针对酒店和旅游组织]( "网络犯罪组织TA558针对酒店和旅游组织")
研究人员说:“TA558 使用的恶意软件可以窃取包括酒店客户用户和信用卡数据在内的数据,允许横向移动,并提供后续有效载荷。该行为者进行的活动可能导致公司和客户数据的数据被盗,以及潜在的财务损失。”
原文始发于微信公众号(祺印说信安):网络犯罪组织TA558针对酒店和旅游组织
评论