S.E.Reborn
Переслано от SecAtor
Ресерчеры из Лаборатории Касперского раскрывают новую волну атак RevengeHotels с использованием LLM и VenomRAT, частной версии QuasarRAT с открытым исходным кодом.
Группа, также известная как TA558, действует с 2015 года и занимается кражей данных кредитных карт гостей отелей и путешественников.
Основной метод работы заключается в отправке электронных писем с фишинговыми ссылками, которые перенаправляют жертв на веб-сайты, имитирующие хранилища документов и загружающие файлы скриптов для заражения целевых компьютеров.
В конечном итоге вредоносная нагрузка включает в себя различные RAT, которые позволяют злоумышленникам осуществлять управление скомпрометированными системами, кражу конфиденциальных данных, а также выполнять другие вредоносные действия.
В предыдущих кампаниях группа задействовала вредоносные электронные письма с вложенными документами Word, Excel или PDF.
Некоторые из них эксплуатировали уязвимость CVE-2017-0199, загружая скрипты VBS или PowerShell для установки модифицированных версий различных семейств RAT, таких как RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT и вредоносного ПО ProCC.
Эти кампании затронули отели во многих странах Латинской Америки, включая Бразилию, Аргентину, Чили и Мексику, а также службы регистрации и обслуживания гостей по всему миру, особенно в России, Беларуси, Турции и других странах.
Позже RevengeHotels расширила свой арсенал, добавив XWorm - RAT с командами для управления, кражи данных и сохранения активности, среди прочего.
В ходе расследования кампании по распространению XWorm исследователи ЛК выявили достоверные признаки того, что RevengeHotels также использовала RAT-инструмент DesckVBRAT в своих операциях.
Летом 2025 года в поле зрения ЛК попали новые кампании, нацеленные на тот же сектор с использованием всё более сложных имплантов и инструментов.
Злоумышленники продолжают использовать фишинговые письма с темами счетов-фактур для доставки имплантов VenomRAT через загрузчики JavaScript и PowerShell.
Значительная часть исходного кода вредоноса и загрузчика в этой кампании, по-видимому, сгенерирована LLM-агентами. Так что злоумышленники теперь активно используют ИИ для совершенствования своих возможностей.
Основными целями новых атак являются бразильский гостининичный сектор, но также может включать цели в испаноязычных странах или регионах.
Благодаря всестороннему анализу схем атак и TTPs злоумышленника исследователи ЛК с высокой степенью уверенности установили, что ответственным за них действительно является RevengeHotels.
В целом, как отмечают исследователи, с помощью агентов LLM группа смогла создавать и модифицировать фишинговые приманки, расширяя свои атаки на новые регионы.
И, если веб-сайты, используемые для этих атак, и начальная полезная нагрузка постоянно меняются, то конечная цель остаётся прежней: внедрение RAT.
Технический разбор атак и инструментария, а также IOCs - в отчете.
Группа, также известная как TA558, действует с 2015 года и занимается кражей данных кредитных карт гостей отелей и путешественников.
Основной метод работы заключается в отправке электронных писем с фишинговыми ссылками, которые перенаправляют жертв на веб-сайты, имитирующие хранилища документов и загружающие файлы скриптов для заражения целевых компьютеров.
В конечном итоге вредоносная нагрузка включает в себя различные RAT, которые позволяют злоумышленникам осуществлять управление скомпрометированными системами, кражу конфиденциальных данных, а также выполнять другие вредоносные действия.
В предыдущих кампаниях группа задействовала вредоносные электронные письма с вложенными документами Word, Excel или PDF.
Некоторые из них эксплуатировали уязвимость CVE-2017-0199, загружая скрипты VBS или PowerShell для установки модифицированных версий различных семейств RAT, таких как RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT и вредоносного ПО ProCC.
Эти кампании затронули отели во многих странах Латинской Америки, включая Бразилию, Аргентину, Чили и Мексику, а также службы регистрации и обслуживания гостей по всему миру, особенно в России, Беларуси, Турции и других странах.
Позже RevengeHotels расширила свой арсенал, добавив XWorm - RAT с командами для управления, кражи данных и сохранения активности, среди прочего.
В ходе расследования кампании по распространению XWorm исследователи ЛК выявили достоверные признаки того, что RevengeHotels также использовала RAT-инструмент DesckVBRAT в своих операциях.
Летом 2025 года в поле зрения ЛК попали новые кампании, нацеленные на тот же сектор с использованием всё более сложных имплантов и инструментов.
Злоумышленники продолжают использовать фишинговые письма с темами счетов-фактур для доставки имплантов VenomRAT через загрузчики JavaScript и PowerShell.
Значительная часть исходного кода вредоноса и загрузчика в этой кампании, по-видимому, сгенерирована LLM-агентами. Так что злоумышленники теперь активно используют ИИ для совершенствования своих возможностей.
Основными целями новых атак являются бразильский гостининичный сектор, но также может включать цели в испаноязычных странах или регионах.
Благодаря всестороннему анализу схем атак и TTPs злоумышленника исследователи ЛК с высокой степенью уверенности установили, что ответственным за них действительно является RevengeHotels.
В целом, как отмечают исследователи, с помощью агентов LLM группа смогла создавать и модифицировать фишинговые приманки, расширяя свои атаки на новые регионы.
И, если веб-сайты, используемые для этих атак, и начальная полезная нагрузка постоянно меняются, то конечная цель остаётся прежней: внедрение RAT.
Технический разбор атак и инструментария, а также IOCs - в отчете.
Securelist
A new RevengeHotels campaign targets Latin America
Kaspersky GReAT expert takes a closer look at the RevengeHotels threat actor's new campaign, including AI-generated scripts, targeted phishing, and VenomRAT.
? 3
? 1
11 2.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram