黑客冒充美国政府机构,开展网络欺诈活动

近日,Proofpoint 的安全分析师发现一个专门从事商业电子邮件泄露(BEC)攻击的黑客团伙 TA4903 ,该组织一直在冒充美国政府机构,诱使受害者打开带有虚假投标流程链接的恶意文件。

Proofpoint 观察到的数据显示,威胁攻击者已经假冒了美国交通部、美国农业部 (USDA) 和美国小企业管理局 (SBA)等多个美国机构。

据信,黑客团伙 TA4903 至少从 2019 年起就开始活跃在互联上,2023 年年中到 2024 年期间又增加了活动频次。网络安全研究人员观察到 TA4903 使用的最新手段是在 PDF 文档附件上”附着“二维码。

1709793738_65e961ca7dc7bb1a254e3

虚假竞标电话 PDF

1709793756_65e961dc3e4d241f3c878

这些 PDF 使用统一风格,具有相同的元数据(包括指向尼日利亚血统的作者姓名),一旦受害者扫描二维码,就会立刻被重定向到仿冒美国政府机构的官方门户网站上。

冒充美国农业部的钓鱼网站

跟随钓鱼邮件中的”诱饵“,收件人可能会被”引诱“到 O365 登录页面,并要求其输入登录凭据。值得一提的是,TA4903 黑客团伙曾依靠 “EvilProxy “绕过多因素身份验证 (MFA) 保护,但 Proofpoint 表示近期没有观察到其使用反向代理。

Proofpoint 表示黑客团伙 TA4903 的攻击活动纯粹是出于经济动机,主要采用了以下策略:

未经授权访问企业网络或电子邮件账户;

在被入侵的账户中搜索与银行信息、支付或商家相关的关键字,寻找金融欺诈的机会;

进行 BEC 攻击,例如从被入侵的电子邮件账户向其他员工或合作伙伴发送欺诈性付款或发票请求。

安全研究人员在 2023 年年中几个案例中发现,威胁攻击者试图诱骗财务部门的员工更新付款详情(这些信息是从目标合作组织的受损电子邮件帐户或与之非常相似的地址发送的)

1709793779_65e961f385b9a97c0ebc6

网络攻击主题信息

TA4903 黑客组织出道以来,以美国多个组织为攻击目标,发起了大量电子邮件攻击,严重影响其网络环境安全稳定。近期,安全研究人员注意到 TA4903 组织从欺骗美国政府实体转向冒充小型企业,但目前还不清楚这种转变是暂时的还是长期的。


转自Freebuf,原文链接:https://www.freebuf.com/news/393709.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容