Οι hackers TA4903 υποδύονται διάφορες κυβερνητικές οντότητες των ΗΠΑ, στα πλαίσια BEC επιθέσεων, και προσπαθούν να πείσουν τους στόχους να ανοίξουν κακόβουλα αρχεία με συνδέσμους προς πλαστές διαδικασίες υποβολής προσφορών.
Οι αναλυτές της Proofpoint εντόπισαν την κακόβουλη καμπάνια και παρατήρησαν ότι οι hackers υποδύονται το Υπουργείο Μεταφορών των ΗΠΑ, το Υπουργείο Γεωργίας των ΗΠΑ (USDA) και τη Διοίκηση Μικρών Επιχειρήσεων των ΗΠΑ (SBA).
Οι hackers TA4903 είναι ενεργοί τουλάχιστον από το 2019, αλλά άρχισαν να αυξάνουν τις επιθέσεις τους από τα μέσα του 2023. Η τελευταία τακτική που παρατηρήθηκε είναι η χρήση κωδικών QR σε συνημμένα PDF.
Δείτε επίσης: Τι έχει συμβεί με την Ασημακοπούλου και τα email;
Τα αρχεία PDF έχουν ως θέμα κάτι που σχετίζεται με την οντότητα που υποδύονται οι hackers, αλλά είναι όλα παρόμοια. Επίσης, όλα διαθέτουν τα ίδια metadata, συμπεριλαμβανομένου ενός ονόματος συγγραφέα που δείχνει νιγηριανή καταγωγή.
Οι παραλήπτες που σαρώνουν τους κωδικούς QR ανακατευθύνονται σε phishing ιστότοπους που μοιάζουν με τις επίσημες πύλες από τις πλαστογραφημένες κυβερνητικές υπηρεσίες των ΗΠΑ.
Ανάλογα με το δέλεαρ στα phishing μηνύματα, οι παραλήπτες ενδέχεται να ανακατευθυνθούν στις σελίδες σύνδεσης του O365, όπου τους ζητείται να εισαγάγουν τα credentials τους.
Σύμφωνα με την Proofpoint, οι hackers TA4903 έχουν καθαρά οικονομικά κίνητρα και ακολουθούν τις παρακάτω τακτικές:
- Απόκτηση μη εξουσιοδοτημένης πρόσβασης σε εταιρικά δίκτυα ή λογαριασμούς email.
- Αναζήτηση μέσα στους παραβιασμένους λογαριασμούς για λέξεις-κλειδιά που σχετίζονται με τραπεζικές πληροφορίες.
- Διεξαγωγή επιθέσεων BEC με αποστολή email από τον παραβιασμένο λογαριασμό σε άλλους υπαλλήλους ή συνεργάτες.
Δείτε επίσης: Phishing emails: Προειδοποιητικά σημάδια και tips προστασίας
Στις αρχικές επιθέσεις του 2023, οι hackers TA4903 προειδοποιούσαν για υποτιθέμενες κυβερνοεπιθέσεις, για να ξεγελάσουν το προσωπικό του οικονομικού τμήματος και να το κάνουν να ενημερώσει τα στοιχεία πληρωμής.
Αυτά τα μηνύματα παραδόθηκαν από παραβιασμένους λογαριασμούς email των συνεργαζόμενων οργανισμών του στόχου ή διευθύνσεις που έμοιαζαν πολύ με αυτούς.
Οι hackers TA4903 με τις επιθέσεις BEC αποτελούν σημαντική απειλή για τους οργανισμούς σε όλο τον κόσμο, αν και οι περισσότεροι στόχοι βρίσκονται στις ΗΠΑ.
Σύμφωνα με την Proofpoint, οι TA4903 hackers κατοχυρώνουν domain names που μοιάζουν με κυβερνητικές οντότητες και ιδιωτικούς οργανισμούς σε διάφορους τομείς. Το τελευταίο διάστημα, όμως, μιμούνται και μικρές επιχειρήσεις.
Δείτε επίσης: Operation Texonto: Ρώσοι hackers στοχεύουν Ουκρανούς με emails σχετικά με τον πόλεμο
Hackers TA4903 – BEC επιθέσεις: Προστασία
Για να προστατευτεί ένας οργανισμός από επιθέσεις BEC, είναι απαραίτητη η εφαρμογή μιας σειράς στρατηγικών. Πρώτον, η εκπαίδευση των υπαλλήλων είναι κρίσιμη. Οι υπάλληλοι πρέπει να είναι ενήμεροι για τη φύση των επιθέσεων BEC και πώς να αναγνωρίζουν τα σημάδια μιας πιθανής επίθεσης.
Δεύτερον, η εφαρμογή πολιτικών ασφαλείας του email είναι άλλος ένας σημαντικός τρόπος προστασίας. Αυτό μπορεί να περιλαμβάνει τη χρήση εργαλείων που ελέγχουν τα εισερχόμενα email για σημάδια απάτης, όπως η αναγνώριση περίεργων διευθύνσεων email.
Τρίτον, η εφαρμογή διπλού ελέγχου για σημαντικές συναλλαγές μπορεί να είναι πολύ χρήσιμη. Οι hackers TA4903 ζητούν τη μεταφορά χρημάτων αλλά οι σημαντικές συναλλαγές πρέπει να επιβεβαιώνονται μέσω ανεξάρτητων καναλιών, για παράδειγμα, μέσω email και τηλεφώνου.
Τέλος, η χρήση προηγμένων λύσεων ασφαλείας πληροφορικής μπορεί να βοηθήσει στην προστασία ενάντια σε επιθέσεις BEC. Αυτό μπορεί να περιλαμβάνει τη χρήση λογισμικού που εντοπίζει και αποκρούει τις επιθέσεις BEC, καθώς και την εφαρμογή πολιτικών που περιορίζουν την πρόσβαση σε ευαίσθητες πληροφορίες.
Πηγή: www.bleepingcomputer.com