コンテンツにスキップするには Enter キーを押してください

偽の予約リンクが疲れた旅行者を狙う

投稿日 2025年7月13日

偽の旅行予約は、すでにキャンセルされたフライトや過剰予約のホテルに苦しむ旅行者から、さらに多くの苦痛を引き出しています。

TA558として知られる長年の脅威グループが、旅行およびホスピタリティ業界を標的とした活動を強化しています。COVID関連の旅行制限に起因すると考えられる活動の停滞の後、この脅威グループは旅行や関連する航空会社・ホテルの予約の増加を悪用するキャンペーンを強化しました。

TA558のサイバー犯罪者は、2018年のキャンペーンを改良し、偽の予約メールにリンクを含めており、クリックするとさまざまなマルウェアバリアントを含む悪意のあるマルウェアペイロードが配信されると、セキュリティ研究者が警告しています。

Proofpointのレポートによると、今回の最新キャンペーンの特徴は、メッセージにリンクされたRARおよびISOファイルの添付ファイルの使用です。ISOおよびRARは単一の圧縮ファイルであり、実行されると内部のファイルやフォルダデータが解凍されます。

「TA558は2022年にURLの使用頻度を増やし始めました。TA558は2022年にURLを使ったキャンペーンを27回実施しましたが、2018年から2021年までの合計はわずか5回でした。通常、URLは実行ファイルを含むISOやzip(RAR)などのコンテナファイルに誘導されました」とProofpointは記しています。

感染するには、標的となった被害者がファイルアーカイブの解凍を騙されて行う必要があります。「予約リンクは…ISOファイルおよび埋め込まれたバッチファイルに誘導しました。BATファイルの実行により、PowerShellのヘルパースクリプトが実行され、さらにAsyncRATというペイロードがダウンロードされました」と研究者は記しています。

あなたの旅程をマルウェア感染ステータスにアップグレード

Palo Alto Networks(2018年)、Cisco Talos(2020年および2021年)、Uptycs(2020年)によって追跡された過去のTA558キャンペーンでは、悪意のあるMicrosoft Wordドキュメントの添付ファイル(CVE-2017-11882)やリモートテンプレートURLを利用してマルウェアをダウンロード・インストールしていたとProofpointは述べています。

ISOやRARファイルへの移行は、「Microsoftが2021年末から2022年初めにかけて、Office製品でマクロ(VBAおよびXL4)をデフォルトで無効にすることを発表したためと考えられます」と研究者は述べています。

「2022年にはキャンペーンの頻度が大幅に増加しました。キャンペーンではLoda、Revenge RAT、AsyncRATなどのマルウェアが混在して配信されました。この攻撃者はURL、RAR添付ファイル、ISO添付ファイル、Officeドキュメントなど、さまざまな配信手法を使用しました」と研究者は記しています。

最近のキャンペーンのマルウェアペイロードには、リモートアクセス型トロイの木馬(RAT)が含まれていることが多く、偵察、データ窃取、さらなるペイロードの配信を可能にするとProofpointは述べています。

しかし、これまでの進化を通じて、グループの目的は常に変わっていません。アナリストは「中から高い確信度」で、TA558は金銭的動機があり、盗んだデータを利用して規模を拡大し、金銭を盗んでいると結論付けています。「この攻撃による被害は、旅行業界の組織だけでなく、休暇でそれらを利用した顧客にも影響を与える可能性があります」とProofpointの脅威調査・検知組織担当副社長Sherrod DeGrippo氏は声明で述べています。「これらおよび関連業界の組織は、この攻撃者の活動を認識し、自らを守るための対策を講じるべきです。」

TA558の歴史

少なくとも2018年以降、TA558は主に旅行、ホスピタリティ、関連業界の組織を標的にしてきました。これらの組織は主にラテンアメリカに位置し、時には北米や西ヨーロッパにも存在します。

TA558はその歴史を通じて、ソーシャルエンジニアリングされたメールを使って被害者を悪意のあるリンクやドキュメントのクリックに誘導してきました。これらのメールは、ほとんどがポルトガル語またはスペイン語で書かれており、通常はホテル予約に関する内容を装っています。件名や添付ドキュメントの名前は、単純に「reserva」となっていることが多いです。

初期の攻撃では、Microsoft Wordの数式エディタの脆弱性、たとえばCVE-2017-11882(リモートコード実行バグ)を利用していました。目的は、標的のマシンにLodaRevenge RATなどのRATをダウンロードさせることでした。

2019年には、悪意のあるマクロを仕込んだPowerPoint添付ファイルやテンプレートインジェクションをOfficeドキュメントに対して用いるなど、攻撃手法を拡大しました。また、初めて英語のフィッシング誘導を利用し、新たな層にも拡大しました。

2020年初頭はTA558にとって最も活発な時期で、1月だけで25件の悪意あるキャンペーンを展開しました。この期間中は主にマクロを仕込んだOfficeドキュメントや既知のOffice脆弱性を狙っていました。

「特にラテンアメリカ、北米、西ヨーロッパの標的業界で活動する組織は、この攻撃者の戦術、技術、手順を認識しておくべきです」と研究者は助言しています。

翻訳元: https://threatpost.com/reservation-links-prey-on-travelers/180462/

Published in threatpost-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です