网络犯罪组织 TA558 针对酒店、宾馆和旅游机构展开攻击

The 网络Hacker News 网站披露，研究人员发现一个出于经济动机的犯罪网络犯罪集团，与针对拉丁美洲酒店和旅游机构的组织针对持续攻击浪潮有关。经研究人员详细分析后发现，酒店击其主要目的宾馆是在受感染的系统上安装恶意软件。

该犯罪团伙最早活跃可追溯到 2018 年 4 月 ，和旅是游机一个小型犯罪威胁攻击组织。一份报告中显示 ，构展这个犯罪团伙自 2018 年以来，开攻使用一致的香港云服务器网络战术 、技术和程序
，犯罪试图在受害者系统上 ，组织针对安装包括 Loda RAT、酒店击Vjw0rm 和 Revenge RAT 等在内的宾馆各种恶意软件 。

直到 2022 年，和旅TA558 网络犯罪组织的行动节奏开始逐渐加快，入侵的主要对象是拉丁美洲的葡萄牙语和西班牙语使用者，在西欧和北美的入侵程度较低  。免费模板

据悉 ，该组织发起的网络钓鱼活动包括发送带有预订主题诱饵的恶意垃圾邮件消息，例如包含武器化文档或 URL 的酒店预订，以诱使不知情的用户安装能够侦察 、数据盗窃和分发后续有效负载的木马。

值得一提的是，多年来这些攻击发生了微妙的演变，服务器租用在 2018 年至 2021 年之间发现的攻击活动，主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文档的电子邮件下载和安装混合恶意软件，例如 AsyncRAT、Loda RAT  、Revenge RAT 和 Vjw0rm等。

最近几个月，研究人员观察到 TA558 从包含宏的 Microsoft Office 附件转向支持 URL 和 ISO 文件以实现初始感染，此举可能是为了响应微软决定在默认情况下阻止从 Web 下载的文件中的源码库宏
。

2022 年截止到目前为止，TA558 组织已经开展 51 次攻击活动，其中有 27 次包含了指向 ISO 文件和 ZIP 档案的 URL  。相比之下 ，从 2018 年到 2021 年 ，总共只有 5 次类似活动。

Proofpoint 进一步指出 ，TA558 所记录的入侵行为是其广泛的恶意活动的一部分，重点是云计算拉丁美洲地区的受害者。由于没有任何入侵后的活动，有理由怀疑 TA558 是一个有经济动机的网络犯罪攻击者。

最后，研究人员强调，TA558 组织使用的恶意软件可以窃取酒店用户的信用卡数据，允许横向移动，并提供后续有效载荷。攻击者进行网络入侵活动可能导致公司和客户的模板下载数据被盗，以及其它潜在的财务损失。