Письмо от коллеги или BEC-ловушка? TA4903 больно бьет по карманам госслужащих

Письмо от коллеги или BEC-ловушка? TA4903 больно бьет по карманам госслужащих

Хакеры притворяются чиновниками, чтобы заполучить как можно больше денег.

image

Отчет ведущей компании Proofpoint вскрыл изощренную схему кибермошенничества, осуществляемую хакерской группировкой TA4903. Эта банда специализируется на BEC-атаках (компрометации корпоративной почты) и в течение последних лет запускает фишинговые кампании под видом различных госучреждений США.

В качестве прикрытия для своих противоправных действий киберпреступники выдают себя за Министерство транспорта, Министерство сельского хозяйства и Администрацию по делам малого бизнеса Соединенных Штатов. Рассылаемые ими электронные письма содержат вредоносные PDF-приложения с QR-кодами.

При сканировании QR-кода жертва перенаправляется на тщательно замаскированные фишинговые сайты, имитирующие официальные порталы учреждений. В зависимости от используемой приманки пользователи могут быть перенаправлены на поддельные страницы входа в Office 365.

Хотя группа TA4903 ведет свою деятельность как минимум с 2019 года, эксперты Proofpoint отмечают резкую интенсификацию ее активности начиная с середины 2023 года и по настоящее время. В прошлом злоумышленники использовали инструмент EvilProxy для обхода многофакторной аутентификации, однако в текущем году применение этого метода не наблюдалось.

Мотивация TA4903 носит чисто финансовый характер. Получив несанкционированный доступ к корпоративным сетям и учетным записям электронной почты, киберпреступники тщательно изучают их на предмет информации о банковских реквизитах, платежах и данных торговых партнеров. На основе этих сведений они и осуществляют BEC-атаки, отправляя от имени взломанных аккаунтов поддельные запросы на оплату счетов или изменение платежных реквизитов.

В ряде инцидентов, зафиксированных начиная с середины 2023 года, злоумышленники рассылали письма от имени скомпрометированных партнерских организаций, почти неотличимых от подлинных. Жертвам сообщали о мнимой кибератаке и предлагали обновить платежные данные.

По оценкам Proofpoint, TA4903 представляет значительную угрозу для организаций по всему миру, нацеливаясь на широкий спектр организаций. Недавно эксперты отметили смещение акцента со взлома правительственных учреждений на малый бизнес, однако пока неясно, является ли это временной тактикой или началом новой тенденции.

Сложность схемы BEC-атак, включающей несколько этапов, предоставляет организациям множество возможностей для обнаружения вредоносной активности. Тем не менее, эффективным средством противодействия таким угрозам остается комплексный многоуровневый подход к обеспечению информационной безопасности.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум