The Hacker News 網(wǎng)站披露，研究人員發(fā)現(xiàn)一個出于經(jīng)濟(jì)動機的網(wǎng)絡(luò)犯罪集團(tuán)，與針對拉丁美洲酒店和旅游機構(gòu)的持續(xù)攻擊浪潮有關(guān)。經(jīng)研究人員詳細(xì)分析后發(fā)現(xiàn)，其主要目的是在受感染的系統(tǒng)上安裝惡意軟件。

該犯罪團(tuán)伙最早活躍可追溯到 2018 年 4 月，是一個小型犯罪威脅攻擊組織。一份報告中顯示，這個犯罪團(tuán)伙自 2018 年以來，使用一致的戰(zhàn)術(shù)、技術(shù)和程序，試圖在受害者系統(tǒng)上，安裝包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在內(nèi)的各種惡意軟件。

直到 2022 年，TA558 網(wǎng)絡(luò)犯罪組織的行動節(jié)奏開始逐漸加快，入侵的主要對象是拉丁美洲的葡萄牙語和西班牙語使用者，在西歐和北美的入侵程度較低。

據(jù)悉，該組織發(fā)起的網(wǎng)絡(luò)釣魚活動包括發(fā)送帶有預(yù)訂主題誘餌的惡意垃圾郵件消息，例如包含武器化文檔或 URL 的酒店預(yù)訂，以誘使不知情的用戶安裝能夠偵察、數(shù)據(jù)盜竊和分發(fā)后續(xù)有效負(fù)載的木馬。

值得一提的是，多年來這些攻擊發(fā)生了微妙的演變，在 2018 年至 2021 年之間發(fā)現(xiàn)的攻擊活動，主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文檔的電子郵件下載和安裝混合惡意軟件，例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。

最近幾個月，研究人員觀察到 TA558 從包含宏的 Microsoft Office 附件轉(zhuǎn)向支持 URL 和 ISO 文件以實現(xiàn)初始感染，此舉可能是為了響應(yīng)微軟決定在默認(rèn)情況下阻止從 Web 下載的文件中的宏。

2022 年截止到目前為止，TA558 組織已經(jīng)開展 51 次攻擊活動，其中有 27 次包含了指向 ISO 文件和 ZIP 檔案的 URL。相比之下，從 2018 年到 2021 年，總共只有 5 次類似活動。

Proofpoint 進(jìn)一步指出，TA558 所記錄的入侵行為是其廣泛的惡意活動的一部分，重點是拉丁美洲地區(qū)的受害者。由于沒有任何入侵后的活動，有理由懷疑 TA558 是一個有經(jīng)濟(jì)動機的網(wǎng)絡(luò)犯罪攻擊者。

最后，研究人員強調(diào)，TA558 組織使用的惡意軟件可以竊取酒店用戶的信用卡數(shù)據(jù)，允許橫向移動，并提供后續(xù)有效載荷。攻擊者進(jìn)行網(wǎng)絡(luò)入侵活動可能導(dǎo)致公司和客戶的數(shù)據(jù)被盜，以及其它潛在的財務(wù)損失。