Şimdi durum şu. Yıllardır, özellikle sürekli stres altındaki gezginleri hedef alan o dijital bataklıkta, oltalama (phishing) dolandırıcılıklarının ortasında yüzüyorduk. Siber suçluların aynı eski numarayı çevirmeye devam edeceğini düşünüyorduk: sahte bir fatura, şüpheli bir kargo bildirimi. Ancak seyahat ve konaklama sektörlerine özel ilgisi olan, uzun süredir bilinen tehdit aktörü TA558, işleri karıştırmaya karar vermiş.
Pandeminin getirdiği seyahat yasağı sırasında bir nevi ara veren grup, şimdi uçaklar ve oteller yeniden dolup taşarken, çok daha sofistike bir numarayla geri döndü.
Eskiden gördüğünüz basit zararlı bağlantıları unutun. Bu işler artık şakaya gelmez; 2018’deki oyun kitaplarını tozdan çıkarmışlar ve üzerine iyi bir doz malware sürmüşler. Proofpoint’in detaylandırdığı en son kampanya, sahte rezervasyon e-postalarını içeriyor. Ama işin özü burada: içindeki bağlantılar sadece ele geçirilmiş bir web sitesine gitmiyor. Yoo. Bunlar aslında dijital bubi tuzakları — RAR ve ISO dosyaları.
Bunlar dedenizin zip dosyaları değil; sıkıştırılmış tek paketler ve bunları açmak için biraz uğraştığınızda, işe yaramaz malware varyantlarından oluşan iğrenç bir yükü serbest bırakıyorlar. Sanki elinize güzel bir seyahat broşürü veriyorlar ama broşür yerine elinizde patlamaya hazır bir zaman bombası tutuyorsunuz.
İşin garip tarafı şu. Proofpoint’in belirttiğine göre TA558, 2022’de URL’lere daha fazla ağırlık vermeye başlamış; 2018-2021 döneminde sadece beş kampanya varken, 2022’de 27 kampanyaya imza atmışlar. Ve bu URL’ler? Çoğunlukla ISO veya RAR gibi konteyner dosyalara yönlendiriyor ve bu dosyaar da çalıştırılabilir dosyalar barındırıyor. Yani bir rezervasyon bağlantısına tıklıyorsunuz, ardından dosyaları açmanız isteniyor ve BAM. Bilgisayarınız AsyncRAT gibi özellikle sinsi bir uzaktan erişim truva atıyla enfekte oluyor.
Seyahat Programınızı Malware Enfeksiyonu Durumuna Yükseltin
Bu tamamen sürpriz değil aslında. TA558’in bir geçmişi var. 2018’de işler, eski Microsoft Word açıklarından (CVE-2017-11882) yararlanmak veya uzaktan şablon URL’leri kullanmakla ilgiliydi. Sonra PowerPoint ekleri, makro içeren belgeler ve şablon enjeksiyonları geldi. Hatta 2019 civarında İngilizce hedeflemelere de göz atmaya başlamışlar, saldırı yüzeylerini genişletmişler. 2020’nin başları onlar için adeta bir altın madeniydi; sadece Ocak ayında dudak uçuklatan 25 kampanya yapmışlar. Oldukça meşguldüler.
Peki neden şimdi RAR ve ISO dosyalarına geçiş yaptılar? Muhtemelen Microsoft’un 2021 sonları ve 2022 başlarında Office ürünlerinde makroları varsayılan olarak devre dışı bırakması bu değişimin nedeni. Alışık olduğunuz kapı kilitliyken, bir pencere bulursunuz. TA558 için ISO ve RAR dosyaları bu yeni pencereler.
Kampanya temposu önemli ölçüde arttı. Kampanyalar Loda, Revenge RAT ve AsyncRAT gibi çeşitli malware’ler dağıttı. Bu aktör, URL’ler, RAR ekleri, ISO ekleri ve Office belgeleri dahil olmak üzere çeşitli dağıtım mekanizmaları kullandı.
Ve ne tür malware’den bahsediyoruz? Çoğunlukla uzaktan erişim truva atları (RAT’ler). Bunlar, saldırganların etrafta dolandırmasına, veri çalmasına ve en önemlisi daha fazla zararlı yazılım indirmesine olanak tanıyan dijital casus dedektifler gibi. Tam bir dijital yaramazlık ekosistemi.
Bütün bunların ötesinde, temel motivasyon değişmemiş: para. Proofpoint, TA558’in finansal olarak motive olduğuna oldukça emin. Çalınan verileri operasyonlarını finanse etmek ve nihayetinde para çalmak için kullanıyorlar. Ve risk altında olan sadece seyahat sektöründeki işletmeler değil. Bir tatil veya otel rezervasyonu yapan herkes potansiyel olarak etkilenebilir. Yani evet, o rüya tatiliniz bir siber güvenlik kabusuna dönüşebilir.
TA558’in Geçmişi
En az 2018’den beri TA558, seyahat, konaklama ve ilgili sektörlerin baş belası olmuş durumda. Genellikle Latin Amerika’ya odaklanıyorlar ama bazen ağlarını Kuzey Amerika ve Batı Avrupa’ya kadar genişletiyorlar. Çalışma tarzları tutarlı bir şekilde sosyal mühendislik e-postalarını içeriyordu. Genellikle Portekizce veya İspanyolca olan bu mesajlar, sahte otel rezervasyonlarını taklit ediyor ve konu satırı veya ek adı ne mi? Basit ve artık oldukça uğursuz bir “reserva.”
Erken dönemlerinde, Loda veya Revenge RAT gibi RAT’leri indirmek için Microsoft Word’ün Denklem Düzenleyicisi açığından (CVE-2017-11882) yararlanıyorlardı. 2019’a gelindiğinde, makro içeren PowerPoint slaytları ve şablon enjeksiyonlarıyla çeşitleniyorlardı. 2020’nin başlarında zirve aktiviteye ulaştılar, endişe verici bir sıklıkla kampanyalar ürettiler, büyük ölçüde makro yüklü Office belgelerine veya bilinen Office açıklarından yararlanmaya güvendiler. Ve şimdi, yine evrim geçirdiler; denenmiş ve gerçek yöntemleri daha modern — ve tartışmasız daha sinsi — dağıtım vektörleriyle değiştirdiler.
Bu evrim bir çaresizlik işareti mi, yoksa sadece akıllı bir adaptasyon mu? Seyahatteki artış ve beraberindeki rezervasyon telaşı göz önüne alındığında, muhtemelen ikincisi. Her zaman olduğu gibi paranın peşindeler. Ve bundan kim fayda sağlıyor? Elbette, AsyncRAT ve TA558’in sattığı diğer malware’lerin yaratıcıları. Kendileri de açıkçası. Ve potansiyel olarak, eğer bu böyle adlandırılabilirse, bu kampanyaları inceleyip hepimizi uyaran güvenlik araştırmacıları. Ama sıradan bir gezgin veya bunalmış bir otel rezervasyon görevlisi için bu kesinlikle iyi bir haber değil. Dijital çağda, bir gezi rezervasyonu yapmanın bile yüksek riskli bir kumar olabileceğinin acı bir hatırlatıcısı.
Geliştiriciler İçin Neden Önemli?
Özellikle seyahat sektörü için web uygulamaları veya hizmetler üzerinde çalışan geliştiriciler için bu durum, güçlü girdi doğrulama ve güvenli dosya işleme konusundaki kritik ihtiyacı vurguluyor. Yalnızca kullanıcı tarafından yüklenen dosya türlerine güvenmek felaket davetiyesi çıkarmak demektir. Düşünün: eğer rezervasyon portalınız genel bir arşiv dosyası kabul ediyorsa, TA558 gibi tehditlere istemeden kapıyı aralamış oluyorsunuz. Katı kontroller uygulamak, hatta işlenmeden önce eklerin sunucu tarafında taranması, en önemli şey. Dahası, arka uç betiklerin PowerShell veya toplu iş dosyası yürütmesine kolayca maruz kalmamalarını sağlamak kilit öneme sahip. Bu sadece kötü adamları yakalamakla ilgili değil; kötülüğü varsayan ve ondan koruyan dirençli sistemler inşa etmekle ilgili.
Gerçekten Kimler Para Kazanıyor?
Gürültüyü keselim. Bu karmaşık planın kârı kimin cebine gidiyor? Öncelikle, TA558’in arkasındaki gölgeli figürler ve AsyncRAT gibi malware’lerin geliştiricileri olan tehdit aktörlerinin kendileri. Çalınan verileri, muhtemelen yasa dışı pazaryerleri aracılığıyla veya bu ilk ele geçirmeleri takip eden fidye yazılımı saldırılarıyla paraya çeviriyorlar. İkincil olarak, şüphesiz bu tür kampanyalar sonrasında araçlarına ve hizmetlerine olan talebin artacağını görecek güvenlik yazılımı satıcıları var. Bu acımasız bir döngü: tehditler ortaya çıkar, savunmalar inşa edilir ve sonra yeni tehditler bu savunmaları istismar eder, hepsi korku ve koruma üzerine kurulu bir sektörü besler. Son kullanıcı, gezgin veya konaklama işletmesi, neredeyse her zaman doğrudan veya dolaylı olarak bunun bedelini öder.
TA558’in RAR ve ISO dosyalarına geçişi, gelişen güvenlik önlemlerine doğrudan bir yanıttır. Bu bir silahlanma yarışı ve adapte olmaya istekli olduklarını gösteriyorlar. Pandemi sonrası toparlanmayla zaten mücadele eden seyahat endüstrisi, şimdi aşılması gereken bir önemli siber güvenlik engeline daha sahip. Peki biz tüketiciler için? Eee, rezervasyon onaylarını iki kez kontrol etmek daha da önem kazandı.
