В общем, такая история. Годами мы барахтались в цифровом болоте фишинговых схем, особенно тех, что нацелены на вечно озабоченных путешественников. Все ждали, что киберпреступники будут тянуть ту же старую пластинку: поддельный счёт, сомнительное уведомление о доставке. Но TA558, этот давно известный актёр угроз с тягой к индустрии путешествий и гостеприимства, решил внести разнообразие. Они, видимо, поставили на паузу во время пандемического спада поездок, а теперь, когда самолёты и отели снова заполняются, они вернулись с удвоенной силой и куда более изощрённым трюком.
Забудьте о простой вредоносной ссылке, которую вы могли видеть раньше. Эти ребята уже не просто экспериментируют; они отряхнули пыль со своего плейбука 2018 года и освежили его, так сказать, вредоносным ПО. Последняя кампания, как подробно описали коллеги из Proofpoint, включает в себя фейковые письма с подтверждением бронирования. Но вот в чём загвоздка: ссылки внутри ведут не просто на скомпрометированный веб-сайт. Нет. Они ведут к тому, что по сути является цифровыми ловушками — RAR и ISO файлам. Это не те zip-архивы, которыми пользовался ваш дедушка; это единые сжатые пакеты, которые при достаточном количестве кликов для распаковки выпускают неприятный груз вариантов вредоносного ПО. Это как получить красивую брошюру о путешествии, которая вместо брошюры на самом деле является тикающей бомбой.
Вот в чём соль. Proofpoint отмечает, что TA558 начала активнее использовать URL-адреса в 2022 году: 27 кампаний против жалких пяти за период с 2018 по 2021 год. А эти URL-адреса? Они часто вели к контейнерным файлам, таким как ISO или RAR, которые, в свою очередь, содержали исполняемые файлы. То есть, вы кликаете по ссылке бронирования, затем вам предлагают извлечь файлы, и — бац! — ваш компьютер заражён чем-то вроде AsyncRAT, особо коварным трояном удалённого доступа.
Обновите свой маршрут до статуса заражения вредоносным ПО
Впрочем, это не совсем уж внезапно. У TA558 есть история. Ещё в 2018 году они использовали старые уязвимости Microsoft Word (CVE-2017-11882) или удалённые шаблонные URL-адреса для поимки жертв. Затем появились вложения PowerPoint, документы с макросами и инъекции шаблонов. Они даже начали использовать англоязычные приманки примерно в 2019 году, расширяя поверхность атаки. Начало 2020 года стало для них настоящей золотой лихорадкой: только в январе они провели поразительные 25 кампаний. Были заняты.
Но почему именно сейчас переход на RAR и ISO файлы? Скорее всего, виноват шаг Microsoft по отключению макросов по умолчанию в продуктах Office, начиная с конца 2021 и начала 2022 года. Когда ваша обычная дверь заперта, вы ищете окно. Для TA558 ISO и RAR файлы — это новые окна.
Темп кампаний значительно увеличился. Кампании доставляли смесь вредоносного ПО, такого как Loda, Revenge RAT и AsyncRAT. Этот актёр использовал разнообразные механизмы доставки, включая URL-адреса, вложения RAR, вложения ISO и документы Office.
И о каком вредоносном ПО идёт речь? В основном, трояны удалённого доступа (RAT). Это цифровой эквивалент частного детектива, позволяющий злоумышленникам шпионить, красть данные, а затем, что крайне важно, загружать ещё больше вредоносного программного обеспечения. Это целая экосистема цифрового хулиганства.
Несмотря на все изменения, основной мотив остался прежним: деньги. Proofpoint вполне уверены, что TA558 движима финансовой выгодой, используя украденные данные для своих операций и, в конечном итоге, для кражи денег. И рискуют не только компании туристического сектора. Любой, кто бронировал отпуск или отель, потенциально может пострадать. Так что да, отпуск мечты может легко превратиться в кибербезопасный кошмар.
История TA558
По крайней мере с 2018 года TA558 досаждает индустрии путешествий, гостеприимства и смежным отраслям, часто концентрируясь на Латинской Америке, но иногда расширяя свою сеть на Северную Америку и Западную Европу. Их modus operandi неизменно включал социально инжиниринговые письма. Эти сообщения, часто на португальском или испанском, обычно имитируют бронирования отелей, а тема или название вложения? Простое, а теперь довольно зловещее, «reserva».
Их ранние игры включали использование уязвимости редактора уравнений Microsoft Word, CVE-2017-11882, для загрузки RAT, таких как Loda или Revenge RAT. К 2019 году они диверсифицировались с помощью вложений PowerPoint с макросами и инъекций шаблонов. В начале 2020 года они достигли пика активности, с пугающей регулярностью проводя кампании, в основном полагаясь на документы Office с макросами или используя известные уязвимости Office. И вот теперь они снова эволюционировали, заменив проверенные методы на более современные — и, возможно, более коварные — векторы доставки.
Является ли эта эволюция признаком отчаяния или просто умной адаптацией? Учитывая рост числа поездок и сопровождающую его спешку с бронированием, скорее всего, последнее. Они идут за деньгами, как всегда. И кто от этого выигрывает? Ну, создатели AsyncRAT и любого другого вредоносного ПО, которое продает TA558, — это одно. Сами злоумышленники, очевидно. И потенциально, если можно так выразиться, исследователи безопасности, которые могут разбирать эти кампании и предупреждать нас всех. Но для обычного путешественника или перегруженного агента по бронированию отелей это определённо не хорошие новости. Это суровое напоминание о том, что в цифровую эпоху даже бронирование поездки может быть рискованной игрой.
Почему это важно для разработчиков?
Для разработчиков, особенно тех, кто работает над веб-приложениями или сервисами для индустрии путешествий, это подчёркивает критическую необходимость строгой валидации входных данных и безопасной обработки файлов. Полагаться исключительно на типы файлов, загруженных пользователями, — это путь к катастрофе. Подумайте: если ваш портал бронирования принимает общий архивный файл, вы непреднамеренно открываете дверь для таких угроз, как TA558. Внедрение строгих проверок, возможно, даже серверного сканирования вложений перед их обработкой, имеет первостепенное значение. Кроме того, крайне важно обеспечить, чтобы серверные скрипты не были легко подвержены выполнению PowerShell или пакетных файлов. Дело не только в поимке плохих парней; речь идёт о создании устойчивых систем, которые предполагают злой умысел и защищаются от него.
Кто на самом деле зарабатывает на этом?
Давайте отбросим шум. Кто получает прибыль от этой сложной схемы? В первую очередь, сами злоумышленники, теневые фигуры, стоящие за TA558, и разработчики вредоносного ПО, такого как AsyncRAT. Они монетизируют украденные данные, вероятно, через нелегальные торговые площадки, или напрямую через атаки программ-вымогателей, которые могут последовать за этим первоначальным компромиссом. Во вторую очередь, у нас есть поставщики программного обеспечения для безопасности, которые, несомненно, увидят повышенный спрос на свои инструменты и услуги после таких кампаний. Это мрачный цикл: появляются угрозы, строятся защиты, а затем новые угрозы используют эти защиты, всё это подпитывает индустрию, построенную на страхе и защите. Конечный пользователь, путешественник или предприятие гостеприимства, почти всегда оплачивает счёт, прямо или косвенно.
Переход TA558 на RAR и ISO файлы — это прямой ответ на развивающиеся меры безопасности. Это гонка вооружений, и они показывают, что готовы адаптироваться. Индустрия путешествий, уже борются с постпандемическим восстановлением, теперь сталкивается с ещё одним значительным препятствием в области кибербезопасности. А для нас, потребителей? Что ж, двойная проверка подтверждений бронирования стала ещё важнее.
