The Hacker News 网站披露，研究人员发现一个出于经济动机的网络犯罪集团，与针对拉丁美洲酒店和旅游机构的持续攻击浪潮有关。经研究人员详细分析后发现，其主要目的是在受感染的系统上安装恶意软件。

该犯罪团伙最早活跃可追溯到 2018 年 4 月，是一个小型犯罪威胁攻击组织。一份报告中显示，这个犯罪团伙自 2018 年以来，使用一致的战术、技术和程序，试图在受害者系统上，安装包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在内的各种恶意软件。

直到 2022 年，TA558 网络犯罪组织的行动节奏开始逐渐加快，入侵的主要对象是拉丁美洲的葡萄牙语和西班牙语使用者，在西欧和北美的入侵程度较低。

据悉，该组织发起的网络钓鱼活动包括发送带有预订主题诱饵的恶意垃圾邮件消息，例如包含武器化文档或 URL 的酒店预订，以诱使不知情的用户安装能够侦察、数据盗窃和分发后续有效负载的木马。

值得一提的是，多年来这些攻击发生了微妙的演变，在 2018 年至 2021 年之间发现的攻击活动，主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文档的电子邮件下载和安装混合恶意软件，例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。

最近几个月，研究人员观察到 TA558 从包含宏的 Microsoft Office 附件转向支持 URL 和 ISO 文件以实现初始感染，此举可能是为了响应微软决定在默认情况下阻止从 Web 下载的文件中的宏。

2022 年截止到目前为止，TA558 组织已经开展 51 次攻击活动，其中有 27 次包含了指向 ISO 文件和 ZIP 档案的 URL。相比之下，从 2018 年到 2021 年，总共只有 5 次类似活动。

Proofpoint 进一步指出，TA558 所记录的入侵行为是其广泛的恶意活动的一部分，重点是拉丁美洲地区的受害者。由于没有任何入侵后的活动，有理由怀疑 TA558 是一个有经济动机的网络犯罪攻击者。

最后，研究人员强调，TA558 组织使用的恶意软件可以窃取酒店用户的信用卡数据，允许横向移动，并提供后续有效载荷。攻击者进行网络入侵活动可能导致公司和客户的数据被盗，以及其它潜在的财务损失。

参考文章：

https://thehackernews.com/2022/08/cybercrime-group-ta558-targeting.html