TA558利用人工智能生成的脚本在巴西酒店攻击中部署Venom远程访问木马

被称为TA558的威胁行为者被认为发起了一系列新的攻击，这些攻击通过投放Venom RAT等各种远程访问木马（RAT）来入侵巴西和西班牙语市场的酒店。

俄罗斯网络安全厂商卡巴斯基（Kaspersky）正在追踪这一活动，该活动于2025年夏季被发现，其源头可追溯至一个被其标记为“RevengeHotels”的黑客组织集群。

该公司表示：“威胁行为者继续利用带有发票主题的钓鱼邮件，通过JavaScript加载器和PowerShell下载器投放Venom远程访问木马（RAT）植入程序。此次活动中，很大一部分初始感染程序和下载器代码似乎是由大型语言模型（LLM）智能体生成的。”

研究结果表明，网络犯罪集团中出现了一种新趋势，即利用人工智能（AI）来提升其作案手法。

RevengeHotels至少从2015年起就开始活跃，它长期针对拉丁美洲的酒店、旅馆和旅游机构，目的是在受感染的系统上安装恶意软件。

经发现，该威胁行为者早期的活动迭代会分发带有精心制作的Word、Excel或PDF文档附件的电子邮件，其中一些文档会利用Microsoft Office中一个已知的远程代码执行漏洞（CVE-2017-0199）来触发Revenge RAT、NjRAT、NanoCoreRAT、888 RAT以及一款名为ProCC的定制恶意软件的部署。

随后，由Proofpoint和Positive Technologies记录的攻击活动表明，该威胁行为者有能力改进其攻击链，以投放多种远程访问木马（RAT），如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake键盘记录器和Vjw0rm。

这些攻击的主要目标是窃取酒店系统中存储的宾客和旅行者的信用卡数据，以及从Booking.com等热门在线旅行社（OTA）获取的信用卡数据。

据卡巴斯基称，最新的攻击活动包括发送以葡萄牙语和西班牙语撰写的钓鱼邮件，这些邮件以酒店预订和职位申请为诱饵，诱骗收件人点击欺诈链接，进而导致WScript JavaScript有效载荷被下载。

该公司表示：“从这段脚本大量的注释代码以及与这类技术生成内容相似的格式来看，它似乎是由大型语言模型（LLM）生成的。这段脚本的主要功能是加载后续用于促进感染的脚本。”

这其中包含一个PowerShell脚本，该脚本会从外部服务器获取一个名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，这个下载器会获取另外两个有效载荷：一个负责启动Venom RAT恶意软件的加载器。

基于开源的Quasar远程访问工具（RAT），Venom远程访问工具（RAT）是一款商业工具，终身许可证售价650美元。包含该恶意软件以及HVNC和窃取器组件的一个月订阅服务，费用为350美元。

这种恶意软件具备数据窃取、反向代理功能，并配有反查杀保护机制，以确保自身持续运行。为实现这一点，它会修改与运行进程相关联的自主访问控制列表（DACL），移除可能干扰其功能的所有权限，并终止任何与硬编码进程相匹配的运行进程。

卡巴斯基表示：“这种反查杀措施的第二个组成部分涉及一个运行连续循环的线程，该线程每50毫秒检查一次运行进程列表。”

“该循环专门针对安全分析师和系统管理员常用的那些进程，这些进程用于监控主机活动、分析.NET二进制文件以及执行其他任务。如果远程访问木马（RAT）检测到这些进程中的任何一个，它会在不提示用户的情况下将其终止。”

反杀功能还具备通过修改Windows注册表在主机上建立持久化的能力，并且当相关进程未出现在运行进程列表中时，能够随时重新运行恶意软件。

如果恶意软件以提升的权限执行，它会继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使有人试图终止该进程，它也能保持存在。它还会强制计算机的显示器保持开启状态，并阻止计算机进入睡眠模式。

最后，Venom远程访问木马（RAT）的恶意组件具备通过可移动USB驱动器传播的能力，能终止与微软 Defender 防病毒软件相关的进程，还会篡改任务计划程序和注册表以禁用该安全程序。

卡巴斯基表示：“RevengeHotels已显著增强其能力，开发了针对酒店和旅游行业的新策略。借助大语言模型智能体，该组织得以生成和修改其钓鱼诱饵，将攻击范围扩大到新的地区。”