【Book房陷阱】針對酒店、旅遊公司作釣魚攻擊 黑客假預訂·真偷錢
隨著疫情的變化,不少國家逐漸放寬入境措施。黑客又蠢蠢欲動,趁酒店業及旅遊業復甦之際發動釣魚活動。一名被追蹤並命名為 TA558 的黑客,今年更見活躍,專門針對酒店和旅遊業界相關的公司發動網絡釣魚活動。TA558 利用一組 15 個不同的惡意軟件系列作攻擊,通常是遠程訪問木馬 (remote access trojans, RAT),來取得目標系統的存取權限、執行監視、竊取關鍵數據,並最終從客戶竊取資金。
TA558 至少從 2018 年開始就一直活躍,但 Proofpoint 發現,TA558 最近變得更活躍,並與這兩年多因 COVID-19 疫情,而遭限制、最近又開始反彈的旅遊業有關。2022 年,TA558 在其網絡釣魚電子郵件中,不再使用帶有巨集指令的文檔,而是在電郵中採用 RAR 和 ISO 文件附件或嵌入的 URL 作手段。黑客過往慣用這些巨集指令以惡意文檔加載、刪除和安裝惡意軟件作手段,但自從 Microsoft 決定在 Office 中禁用 VBA 和 XL4 巨集指令後,其他威脅參與者也看到了類似攻擊手法上的改動。
TA558 啟動感染的網絡釣魚電子郵件,以英語、西班牙語和葡萄牙語編寫,並針對位於北美、西歐和拉丁美洲的公司。電子郵件主題主要是對目標組織作出預訂動作,假裝是由會議舉辦者、旅遊局代理等發信。點擊電郵中被指是預訂連結的 URL 後,受害者便會收到來自遠程資源的 ISO 文件。該存檔包含一堆文件並會啟動一個 PowerShell 劇本,該劇本最終將 RAT 有效負載放到受害者的電腦上,並創建一個持續進行的任務。
而今年 Proofpoint 觀察到的大多數情況下,其有效載荷是 AsyncRAT 或 Loda,而 Revenge RAT、XtremeRAT、CaptureTela 和 BluStealer 的部署規模相對也較小。例如 2022 年的一個攻擊利用了 QuickBooks 發票誘餌,而不是作出房間預訂,並放棄了使用 Revenge RAT。在使用 RAT 惡意軟件入侵酒店系統後,TA558 深入網絡竊取客戶數據、已儲存的信用卡資訊,繼而修改將客戶所見的頁面,導向其付款網站。
2022 年 7 月,位於葡萄牙里斯本的 The Marino Boutique Hotel 在 Booking.com 的賬戶遭到黑客入侵,入侵者在四天內從付費預訂客戶中,偷走了 50 萬歐元。雖然未能證實 TA558 是否參與其中,但 TA558 與威脅參與者的 TTP 和目標範圍相匹配。而這次行程亦為一個示例,說明黑客如何通過進入酒店系統獲利。
TA558 的其他賺錢方式包括出售或使用被盜的信用卡的資料、出售客戶 PII、敲詐,或將受感染的酒店網絡存取權出售給勒索軟件組織。
