官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

近日，Proofpoint 的安全分析师发现一个专门从事商业电子邮件泄露（BEC）攻击的黑客团伙 TA4903 ，该组织一直在冒充美国政府机构，诱使受害者打开带有虚假投标流程链接的恶意文件。

Proofpoint 观察到的数据显示，威胁攻击者已经假冒了美国交通部、美国农业部 (USDA) 和美国小企业管理局 (SBA)等多个美国机构。

据信，黑客团伙 TA4903 至少从 2019 年起就开始活跃在互联上，2023 年年中到 2024 年期间又增加了活动频次。网络安全研究人员观察到 TA4903 使用的最新手段是在 PDF 文档附件上”附着“二维码。

虚假竞标电话 PDF（Proofpoint）

这些 PDF 使用统一风格，具有相同的元数据（包括指向尼日利亚血统的作者姓名），一旦受害者扫描二维码，就会立刻被重定向到仿冒美国政府机构的官方门户网站上。

冒充美国农业部的钓鱼网站（Proofpoint）

跟随钓鱼邮件中的”诱饵“，收件人可能会被”引诱“到 O365 登录页面，并要求其输入登录凭据。值得一提的是，TA4903 黑客团伙曾依靠 "EvilProxy "绕过多因素身份验证 (MFA) 保护，但 Proofpoint 表示近期没有观察到其使用反向代理。

Proofpoint 表示黑客团伙 TA4903 的攻击活动纯粹是出于经济动机，主要采用了以下策略：

未经授权访问企业网络或电子邮件账户；

在被入侵的账户中搜索与银行信息、支付或商家相关的关键字，寻找金融欺诈的机会；

进行 BEC 攻击，例如从被入侵的电子邮件账户向其他员工或合作伙伴发送欺诈性付款或发票请求。

安全研究人员在 2023 年年中几个案例中发现，威胁攻击者试图诱骗财务部门的员工更新付款详情（这些信息是从目标合作组织的受损电子邮件帐户或与之非常相似的地址发送的）

网络攻击主题信息（Proofpoint）

TA4903 黑客组织出道以来，以美国多个组织为攻击目标，发起了大量电子邮件攻击，严重影响其网络环境安全稳定。近期，安全研究人员注意到 TA4903 组织从欺骗美国政府实体转向冒充小型企业，但目前还不清楚这种转变是暂时的还是长期的。

参考文章：

https://www.bleepingcomputer.com/news/security/hackers-impersonate-us-government-agencies-in-bec-attacks/