Một nhóm tin tặc thường xuyên tấn công email doanh nghiệp (BEC) và được theo dõi là TA4903 đã mạo danh nhiều cơ quan chính phủ Hoa Kỳ khác nhau để dụ mục tiêu mở các tệp độc hại mang liên kết đến quy trình đấu thầu giả mạo.
Theo Proofpoint, nhà phân tích của họ đang theo dõi chiến dịch, các tác nhân đe dọa mạo danh Bộ Giao thông Vận tải Hoa Kỳ, Bộ Nông nghiệp Hoa Kỳ (USDA) và Cơ quan Quản lý Doanh nghiệp Nhỏ Hoa Kỳ (SBA).
Công ty bảo mật email cũng báo cáo rằng tác nhân đe dọa đã hoạt động ít nhất từ năm 2019 nhưng đã tăng cường hoạt động từ giữa năm 2023 và đến năm 2024. Chiến thuật mới nhất được quan sát là sử dụng mã QR trong tệp đính kèm tài liệu PDF.
Tệp PDF cuộc gọi đấu thầu giả mạo (Proofpoint)
Các tệp PDF có nội dung theo tổ chức giả mạo nhưng tuân theo một thiết kế nhất quán. Ngoài ra, tất cả chúng đều có cùng một metadata, bao gồm tên tác giả chỉ đến nguồn gốc Nigeria.
Người nhận quét mã QR sẽ được chuyển hướng đến các trang web lừa đảo được tạo ra để giống với các cổng thông tin chính thức từ các cơ quan chính phủ Hoa Kỳ mạo danh.
Trang web lừa đảo mạo danh USDA (Proofpoint)
Tùy thuộc vào nội dung thu hút trong tin nhắn lừa đảo, người nhận có thể được chuyển hướng đến trang đăng nhập O365 nơi họ được nhắc nhập thông tin xác thực của mình.
TA4903 trước đây đã dựa vào ‘EvilProxy’ để vượt qua biện pháp bảo vệ xác thực đa yếu tố (MFA), nhưng Proofpoint lưu ý rằng việc sử dụng proxy ngược chưa được quan sát thấy trong năm nay.
Dựa trên thời gian quan sát của Proofpoint và từ việc theo dõi thông tin xác thực tài khoản mà công ty đã cài đặt trên các trang lừa đảo, hoạt động của TA4903 hoàn toàn có động cơ tài chính và bao gồm các chiến thuật sau:
- Giành được quyền truy cập trái phép vào mạng công ty hoặc tài khoản email.
- Tìm kiếm các tài khoản bị xâm nhập bằng các từ khóa liên quan đến thông tin ngân hàng, thanh toán hoặc người bán để tìm cơ hội gian lận tài chính.
- Tiến hành các cuộc tấn công BEC, chẳng hạn như gửi yêu cầu thanh toán hoặc hóa đơn gian lận từ tài khoản email bị xâm nhập tới các nhân viên hoặc đối tác khác.
Trong một số trường hợp được quan sát lần đầu tiên vào giữa năm 2023, kẻ đe dọa đã sử dụng chủ đề tấn công mạng nhằm lừa nhân viên trong bộ phận tài chính cập nhật thông tin thanh toán.
Những tin nhắn đó được gửi từ các tài khoản email bị xâm nhập của các tổ chức đối tác của mục tiêu hoặc các địa chỉ gần giống với chúng.
Tin nhắn trong các tấn công mạng (Proofpoint)
TA4903 đại diện cho mối đe dọa đáng kể đối với các tổ chức trên toàn cầu, liên tục tung ra các chiến dịch email quy mô lớn nhằm vào nhiều tổ chức. Nó thường nhắm mục tiêu vào các tổ chức ở Hoa Kỳ bằng các chiến dịch email có số lượng lớn.
Theo Proofpoint, TA4903 được biết là đăng ký các tên miền giống với các tổ chức chính phủ và tổ chức tư nhân trong nhiều lĩnh vực khác nhau.
Tuy nhiên, các nhà nghiên cứu nhận thấy TA4903 gần đây đang chuyển từ giả mạo các tổ chức chính phủ Hoa Kỳ sang mạo danh các doanh nghiệp nhỏ, nhưng không rõ liệu việc chuyển đổi này là tạm thời hay dài hạn hơn.
Sự phức tạp của các cuộc tấn công BEC của chúng bao gồm nhiều bước đã tạo điều kiện để phát hiện chúng. Do đó, áp dụng chiến lược bảo mật toàn diện, đa lớp là phương pháp hiệu quả nhất để giảm thiểu các mối đe dọa này.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tin-tac-mao-danh-co-quan-chinh-phu-hoa-ky-trong-cac-cuoc-tan-cong-bec
