信息來源:Freebuf
The Hacker News 網(wǎng)站披露,研究人員發(fā)現(xiàn)一個出于經(jīng)濟動機的網(wǎng)絡(luò)犯罪集團,與針對拉丁美洲酒店和旅游機構(gòu)的持續(xù)攻擊浪潮有關(guān)。經(jīng)研究人員詳細分析后發(fā)現(xiàn),其主要目的是在受感染的系統(tǒng)上安裝惡意軟件。
該犯罪團伙最早活躍可追溯到 2018 年 4 月,是一個小型犯罪威脅攻擊組織。一份報告中顯示,這個犯罪團伙自 2018 年以來,使用一致的戰(zhàn)術(shù)、技術(shù)和程序,試圖在受害者系統(tǒng)上,安裝包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在內(nèi)的各種惡意軟件。
直到 2022 年,TA558 網(wǎng)絡(luò)犯罪組織的行動節(jié)奏開始逐漸加快,入侵的主要對象是拉丁美洲的葡萄牙語和西班牙語使用者,在西歐和北美的入侵程度較低。
據(jù)悉,該組織發(fā)起的網(wǎng)絡(luò)釣魚活動包括發(fā)送帶有預(yù)訂主題誘餌的惡意垃圾郵件消息,例如包含武器化文檔或 URL 的酒店預(yù)訂,以誘使不知情的用戶安裝能夠偵察、數(shù)據(jù)盜竊和分發(fā)后續(xù)有效負載的木馬。
值得一提的是,多年來這些攻擊發(fā)生了微妙的演變,在 2018 年至 2021 年之間發(fā)現(xiàn)的攻擊活動,主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文檔的電子郵件下載和安裝混合惡意軟件,例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。
最近幾個月,研究人員觀察到 TA558 從包含宏的 Microsoft Office 附件轉(zhuǎn)向支持 URL 和 ISO 文件以實現(xiàn)初始感染,此舉可能是為了響應(yīng)微軟決定在默認情況下阻止從 Web 下載的文件中的宏。
2022 年截止到目前為止,TA558 組織已經(jīng)開展 51 次攻擊活動,其中有 27 次包含了指向 ISO 文件和 ZIP 檔案的 URL。相比之下,從 2018 年到 2021 年,總共只有 5 次類似活動。
Proofpoint 進一步指出,TA558 所記錄的入侵行為是其廣泛的惡意活動的一部分,重點是拉丁美洲地區(qū)的受害者。由于沒有任何入侵后的活動,有理由懷疑 TA558 是一個有經(jīng)濟動機的網(wǎng)絡(luò)犯罪攻擊者。
最后,研究人員強調(diào),TA558 組織使用的惡意軟件可以竊取酒店用戶的信用卡數(shù)據(jù),允許橫向移動,并提供后續(xù)有效載荷。攻擊者進行網(wǎng)絡(luò)入侵活動可能導致公司和客戶的數(shù)據(jù)被盜,以及其它潛在的財務(wù)損失。參考文章:https://thehackernews.com/2022/08/cybercrime-group-ta558-targeting.html