美国知名安全厂商Proofpoint的研究人员透露了APT 组织的新细节，该组织在过去四年中使用 15 个恶意软件家族从旅游和酒店公司窃取数据。

据 Proofpoint 称，出于财务动机，TA558 组织主要针对拉丁美洲，有时还针对北美和西欧，同时在葡萄牙语、西班牙语和英语之间切换。

它主要使用网络钓鱼电子邮件作为媒介，部署以酒店预订为主题的诱饵，其中包含与受害者组织相关的内容。报告解释说，这些电子邮件包含旨在秘密安装恶意软件的恶意链接或附件，然后可以进行侦察、数据盗窃和下载其他有效负载。

该组织使用的多种恶意软件类型包括 Loda RAT、Vjw0rm、Revenge RAT 和 AsyncRAT。

TA558 大部分时间都使用自己的基础设施，尽管 Proofpoint 已经看到它利用受感染的酒店网站来托管恶意负载，以躲避安全监控工具的监视。

与许多威胁组织一样，TA558 迅速适应了微软最近几个月在 Office 产品中默认禁用宏的决定，使用 RAR 和 ISO 附件而不是启用宏的 Office 文档。

TA558 使用的恶意软件可以窃取包括酒店客户用户和信用卡数据在内的数据，允许横向移动，并提供后续有效载荷。

这对旅游、酒店和酒店业的组织构成了严重威胁，在这些行业中，数据泄露可能会造成重大的财务和声誉损失。

万豪国际在 2014 年对其收购的喜达屋酒店进行网络攻击后，数以亿计的客人记录被威胁者窃取，因此被罚款超过 1800 万英镑。

参考链接：

https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel