กลุ่มแฮ็กเกอร์ TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้แคมเปญฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว
แฮ็กเกอร์ใช้ remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเหยื่อ โดยกลุ่ม TA558 ถูกพบพฤติกรรมครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็วๆ Proofpoint พบว่ากลุ่มดังกล่าวมีปริมาณการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19
แคมเปญของกลุ่ม TA558 ล่าสุด
ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่ฝังอยู่ในข้อความ
แฮ็กเกอร์รายอื่นๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น
อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา
หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่นๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเหยื่อคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอก
ภายในไฟล์ ISO จะมีไฟล์แบตช์ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มีนสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง
หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน
ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.com และขโมยเงิน 500,000 ยูโรภายในสี่วันจากลูกค้าที่จ่ายเงินเพื่อจองห้องพัก
กลุ่ม TA558 ยังมีการขายข้อมูลรายละเอียดบัตรเครดิตที่ถูกขโมยออกมา, ข้อมูลประจำตัวของลูกค้า หรือข้อมูลสำหรับการเข้าถึงเครือข่ายของโรงแรมที่ถูกโจมตี
ที่มา: bleepingcomputer
You must be logged in to post a comment.