İş e-postası ihlali (BEC) saldırıları konusunda uzmanlaşmış ve TA4903 olarak takip edilen bir bilgisayar korsanları çetesi, sahte ihale süreçlerine bağlantılar içeren kötü amaçlı dosyaları açmaları için hedefleri kandırmak amacıyla çeşitli ABD devlet kurumlarının kimliğine bürünüyor.
Analistleri kampanyayı takip eden Proofpoint'e göre, tehdit aktörleri ABD Ulaştırma Bakanlığı, ABD Tarım Bakanlığı (USDA) ve ABD Küçük İşletme İdaresi'ni (SBA) taklit ediyor.
E-posta güvenlik şirketi ayrıca tehdit aktörünün en az 2019'dan beri aktif olduğunu ancak 2023'ün ortalarından 2024'e kadar faaliyetlerini yoğunlaştırdığını da bildiriyor. Gözlemlenen en son taktik, PDF belge eklerinde QR kodlarının kullanılmasıdır.
PDF'ler sahte organizasyon temalıdır ancak tutarlı bir tasarıma sahiptir. Ayrıca, Nijerya kökenli olduğunu gösteren bir yazar adı da dahil olmak üzere hepsi aynı meta verilere sahiptir.
QR kodlarını tarayan alıcılar, kimliğine bürünülmüş ABD devlet kurumlarının resmi portallarına benzeyecek şekilde hazırlanmış kimlik avı sitelerine yönlendiriliyor.
Kimlik avı mesajındaki tuzağa bağlı olarak alıcılar, kimlik bilgilerini girmelerinin istendiği O365 oturum açma sayfalarına yönlendirilebilir.
TA4903 geçmişte çok faktörlü kimlik doğrulama (MFA) korumasını atlamak için 'EvilProxy'ye güveniyordu, ancak Proofpoint ters proxy kullanımının bu yıl gözlemlenmediğini belirtiyor.
Proofpoint'in zaman içindeki gözlemlerine ve şirketin kimlik avı sitelerine yerleştirdiği hesap bilgilerinin takibine dayanarak, TA4903'ün faaliyetinin tamamen finansal amaçlı olduğu ve aşağıdaki taktikleri içerdiği anlaşılmaktadır:
- Kurumsal ağlara veya e-posta hesaplarına yetkisiz erişim elde etmek.
- Mali dolandırıcılık fırsatlarını bulmak için ele geçirilen hesaplarda bankacılık bilgileri, ödemeler veya satıcılarla ilgili anahtar kelimeler aramak.
- Ele geçirilen e-posta hesabından diğer çalışanlara veya ortaklara sahte ödeme veya fatura talepleri göndermek gibi BEC saldırıları gerçekleştirmek.
İlk kez 2023'ün ortalarında gözlemlenen birkaç örnekte, tehdit aktörü, finans departmanındaki personeli ödeme ayrıntılarını güncellemesi için kandırmak amacıyla siber saldırı temasını kullandı.
Bu mesajlar, hedefin ortak kuruluşlarının güvenliği ihlal edilmiş e-posta hesaplarından veya onlara çok benzeyen adreslerden teslim edildi.
TA4903, sürekli olarak çok çeşitli kuruluşları hedefleyen büyük ölçekli e-posta kampanyaları başlatarak dünya çapındaki kuruluşlar için önemli bir tehdit oluşturuyor. Genellikle ABD'deki yüksek hacimli e-posta kampanyalarına sahip kuruluşları hedefler.
Proofpoint'e göre TA4903'ün çeşitli sektörlerdeki devlet kurumları ve özel kuruluşlara benzeyen alan adlarını kaydettirdiği biliniyor.
Ancak araştırmacılar, TA4903'ün yakın zamanda ABD devlet kurumlarının sahtekarlığından küçük işletmelerin kimliğine bürünmeye doğru geçiş yaptığını fark etti; ancak bu geçişin geçici mi yoksa daha uzun vadeli bir değişiklik mi olduğu belli değil.
Aktör
Birden fazla adımı içeren BEC saldırılarının karmaşıklığı, tespit için çeşitli fırsatlar sağlar. Bu nedenle kapsamlı, çok katmanlı bir güvenlik stratejisinin benimsenmesi bu tehditleri azaltmanın en etkili yöntemidir.