2025年6月至8月期间,卡巴斯基全球研究与分析团队(GReAT)发现RevengeHotels(又被称为TA558)发起了新一轮的攻击。该威胁组织自2015年以来持续活跃。本次攻击行动主要针对巴西及多个西班牙语国家的旅游业和酒店业,窃取酒店住客的银行卡数据。攻击者显著增强了其能力,采用了新的战术,并利用人工智能将其行动扩展到更多地区。
虽然巴西酒店是新一轮攻击活动的主要目标,但这次的攻击行动已扩展至多个西班牙语国家,包括阿根廷、玻利维亚、智利、哥斯达黎加、墨西哥和西班牙。此前,还发现该威胁组织发起的另一场针对俄罗斯、白俄罗斯、土耳其、马来西亚、意大利和埃及用户的攻击活动。
攻击者通过伪装成预定房间的钓鱼邮件,诱使收件人查看附件文档。其中包含的网站链接会诱导用户安装远程访问木马(RAT),使攻击者能够发送命令,控制受感染系统并窃取敏感数据。这些邮件通常发送到与酒店预订相关的电子邮件地址。但是最近,攻击主题已转变为虚假求职申请。攻击者发送简历试图利用目标酒店的潜在空缺职位。为了交付有效载荷,攻击者利用合法的托管服务,通常注册以葡萄牙语为主题的域名。
伪装成预订确认邮件的钓鱼邮件示例
PowerShell下载器是该组织惯用的攻击手段。VenomRAT 在暗网资源上分发,其终身许可证的价格高达 650 美元。它扩展了 QuasarRAT
的功能,提供诸如 HVNC 隐藏桌面、文件和凭据窃取、反向代理和 UAC 利用等功能。分析显示,RevengeHotels新创建的初始感染器中,许多包含疑似由人工智能生成的代码。
“ 虽然攻击者的风格仍然可辨认,但此次活动展现了一些新特点:大部分初始感染程序和下载器代码似乎是使用大型语言模型 (LLM) 代理生成的。这凸显了威胁行为者利用人工智能扩展和升级其攻击能力的趋势日益增强,其他网络犯罪组织中也观察到了类似现象,”卡巴斯基全球研究与分析团队高级安全专家Lisandro Ubiedo评论说。
卡巴斯基产品将这些威胁检测为HEUR:Trojan-Downloader.Script.Agent.gen、HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen、Trojan-Downloader.PowerShell.Agent.ady和Trojan.PowerShell.Agent.aqx。
更多详细信息,请参阅Securelist.com上的报告。
为了确保安全,卡巴斯基建议:
· 即便邮件看似友好,也需谨慎对待其中的链接与附件。为保护您的企业,请采用卡巴斯基Next产品线解决方案,该系列产品可为各类规模和行业的组织提供实时防护、威胁可视化、EDR与XDR的调查及响应能力。
· 网络罪犯经常散布伪造的电子邮件,模仿来自在线商店或银行的电子邮件通知,诱使用户点击恶意链接并传播恶意软件。如果攻击者专门针对贵机构,邮件内容可能更具针对性,模仿贵公司熟悉的服务或场景。鉴于此,请务必优化反垃圾邮件设置,切勿打开未知发件人发送的附件。
· 尽量避免打开来路不明的大规模群发文件。它们可能是勒索软件,甚至是间谍软件,即使是来自看起来很正式的电子邮件的附件。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 35多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
