Фахівці Kaspersky повідомляють про чергову хвилю цільових атак групи RevengeHotels (TA558) на готельний сектор. Ключове спостереження: у ланцюжках зараження з’явилися фрагменти коду, що, ймовірно, згенеровані великими мовними моделями (LLM). Це підвищує масштаби кампаній, прискорює ітерації та ускладнює виявлення без належної телеметрії.
RevengeHotels/TA558: профіль групи та мотиви атак
TA558 активна щонайменше з 2015 року та спеціалізується на компрометації готелів і пов’язаних із подорожами компаній, аби викрадати платіжні дані гостей. Традиційний підхід — фішинг із посиланнями на підроблені «хмари» та документообіг, які доставляють скрипти-завантажувачі та далі — трояни віддаленого доступу (RAT).
Кампанія 2025: географія і тактики
Найбільший удар припав на Бразилію; також зафіксовані інциденти в Аргентині, Болівії, Чилі, Коста-Риці, Мексиці та Іспанії. Раніше сліди TA558 відмічали в Росії, Білорусі, Туреччині, Малайзії, Італії та Єгипті. Така широка географія свідчить про добру адаптацію фішингових сценаріїв під локальні мови та бізнес-процеси гостинності.
Фішинг + JS/PowerShell → VenomRAT: розбір ланцюжка
Первинна доставка відбувається через ретельно оформлені листи, що імітують рахунки, запити на бронювання або резюме для готельної сфери. Перехід за посиланням запускає ланцюжок JavaScript- і PowerShell-завантажувачів, які врешті встановлюють VenomRAT. Техніки відповідають MITRE ATT&CK: T1566 (Phishing), T1204 (User Execution), T1059 (Command and Scripting Interpreter, PowerShell).
Як LLM підсилюють атаки на готелі
Аналіз показує, що значна частина коду на етапах початкового інфікування та вивантаження імплантів могла бути згенерована LLM. Автоматизація створення скриптів полегшує підготовку фішингових сторінок, швидку модифікацію завантажувачів під конкретні оточення та обхід сигнатур. Це не робить атаки невразливими, але підвищує темп розсилок і обсяг кампаній за незмінних витрат. З огляду на те, що «людський фактор» присутній у більшості інцидентів (за Verizon DBIR 2024 — близько 68%), поєднання фішингу та автоматизованого генеративного коду створює небезпечну суміш для організацій зі слабкими процесами виявлення.
VenomRAT: функції та причини популярності
VenomRAT — похідна від відкритого QuasarRAT, що надає зловмисникам віддалене керування системою, ексфільтрацію облікових даних і закріплення у мережі. Інструмент поширюється на підпільних майданчиках; вартість «довічної ліцензії» сягала приблизно 650 дол. США. Попри витоки коду, RAT залишається затребуваним через простоту розгортання, гнучкість модулів та активну підтримку у кримінальній екосистемі.
Наслідки для готелів і гостей
Компрометація роб
