O bandă de hackeri specializați în atacuri de tip business email compromise (BEC) și urmăriți sub numele de TA4903 s-au impersonalizat ca diverse entități guvernamentale americane pentru a atrage țintele să deschidă fișiere maligne care conțin linkuri către procese de licitație false.
Potrivit Proofpoint, ale căror analiști au urmărit campania, actorii amenințării se impersonalizează ca Departamentul de Transporturi al Statelor Unite, Departamentul de Agricultură al Statelor Unite (USDA) și Administrația pentru Afaceri Mici din Statele Unite (SBA).
Compania de securitate email raportează, de asemenea, că actorul amenințării a fost activ cel puțin din 2019, dar și-a intensificat activitățile începând din mijlocul anului 2023 și până în 2024. Cea mai recentă tactică observată este utilizarea codurilor QR în atașamentele documentelor PDF.
PDF-urile sunt tematice după organizația falsificată, dar urmează un design consistent. De asemenea, toate prezintă aceleași metadate, inclusiv un nume de autor care indică originea nigeriană.
Destinatarii care scanează codurile QR sunt redirecționați către site-uri de phishing create pentru a semăna cu portalele oficiale ale agențiilor guvernamentale americane impersonalizate.
În funcție de momeala din mesajul de phishing, destinatarii pot fi redirecționați către pagini de autentificare O365 unde li se cere să-și introducă datele de autentificare.
TA4903 se baza în trecut pe „EvilProxy” pentru a ocoli protecția de autentificare în doi factori (MFA), dar Proofpoint remarcă faptul că utilizarea proxy-ului invers nu a fost observată în acest an.
Bazându-se pe observațiile Proofpoint de-a lungul timpului și de la urmărirea datelor de autentificare ale contului pe site-urile de phishing, activitatea TA4903 este pur și simplu motivată financiar și include următoarele tactici:
În mai multe cazuri observate pentru prima dată în mijlocul anului 2023, actorul amenințării a folosit tema unui atac cibernetic în încercările de a păcăli personalul din departamentul financiar să-și actualizeze detaliile de plată.
Aceste mesaje au fost livrate din conturi de email compromise ale organizațiilor partenere ale țintei sau din adrese care le semănau foarte mult.
TA4903 reprezintă o amenințare semnificativă pentru organizații la nivel global, lansând în mod constant campanii de email la scară largă îndreptate către o gamă largă de organizații. În mod obișnuit, vizează organizații din Statele Unite cu campanii de email de mare volum.
Potrivit Proofpoint, TA4903 este cunoscut pentru înregistrarea unor nume de domenii care seamănă cu entități guvernamentale și organizații private în diverse sectoare.
Cu toate acestea, cercetătorii au observat că TA4903 a schimbat recent direcția de la falsificarea entităților guvernamentale americane la impersonalizarea micilor afaceri, dar nu este clar dacă schimbarea este temporară sau un schimbare pe termen lung.
Complexitatea atacurilor lor BEC, care implică mai mulți pași, oferă mai multe oportunități pentru detectare. Prin urmare, adoptarea unei strategii de securitate comprehensive, multi-nivel, este cea mai eficientă metodă pentru a atenua aceste amenințări.
Agenția anti-spălare de bani din Canada offline după un atac cibernetic
Hackerii fură hash-urile de autentificare Windows NTLM în atacuri de phishing
Hackerii vizează FCC, firmele crypto în atacuri avansate de phishing Okta
SUA acuză un iranian pentru atacuri asupra organizațiilor de apărare, oferă 10 milioane de dolari pentru informații
Banda Savvy Seahorse folosește înregistrări DNS CNAME pentru a alimenta escrocheriile pentru investitori
Leave a Reply