แฮ็กเกอร์มุ่งเป้าโจมตีกลุ่มธุรกิจโรงแรม และท่องเที่ยวด้วยการจองที่พักปลอม
กลุ่มผู้ไม่ประสงค์ดี TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้ฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว ผู้ไม่ประสงค์ดีใช้ Remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเป้าหมาย โดยกลุ่ม TA558 ถูกพบครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็ว ๆ นี้ Proofpoint พบว่ากลุ่มดังกล่าวมีจำนวนการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19
วิธีการโจมตีของกลุ่ม TA558
ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่แฝงอยู่ ผู้ไม่ประสงค์ดีรายอื่น ๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น
อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา
หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่น ๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเป้าหมายคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอกภายในไฟล์ ISO จะมีไฟล์ .Bat ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มันสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง
.png)
หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.com และขโมยเงิน 500,000 ยูโรภายในสี่วันจากลูกค้าที่จ่ายเงินเพื่อจองห้องพัก กลุ่ม TA558 ยังมีการขายข้อมูลรายละเอียดบัตรเครดิตที่ถูกขโมยออกมา, ข้อมูลประจำตัวของลูกค้า หรือข้อมูลสำหรับการเข้าถึงเครือข่ายของโรงแรมที่ถูกโจมตี
ไม่มีความคิดเห็น:
แสดงความคิดเห็น