TA4903, çok çeşitli sektörlerde hem ABD devlet kurumlarını hem de özel işletmeleri taklit eden, finansal motivasyona sahip bir siber suç tehdit aktörüdür.
Aktör çoğunlukla ABD'deki kuruluşları hedef alıyor ancak bazen de yüksek hacimli e-posta kampanyaları aracılığıyla dünya çapındaki kuruluşları hedef alıyor.
Kampanyanın hedefleri kurumsal kimlik bilgileri elde etmek, posta kutularını hacklemek ve ardından gelen iş e-postası ihlali (BEC) faaliyetlerini gerçekleştirmektir.
Proofpoint Araştırmacıları, 2023 ortasından 2024'e kadar çeşitli TA4903 temalarını kullanan kimlik avı ve dolandırıcılık girişimlerinde bir artış olduğunu fark etti.
Aktör, aralarında imalat, enerji, finans, yiyecek-içecek ve inşaatın da bulunduğu çeşitli sektörlerdeki küçük ve orta ölçekli işletmeleri (KOBİ'ler) yanıltmaya başladı.
Kurbanları bankacılık ve ödeme bilgilerini açıklamaya ikna etmek için “siber saldırılar” gibi temaların kullanılmasıyla BEC temalarının hızlı büyümesi de arttı.
Proofpoint, Cyber Security News ile yaptığı paylaşımda “Aktörün hükümet sahtekarlığından uzaklaşan ve bunun yerine küçük ve orta ölçekli işletmelere ait olduğu iddia edilen son BEC kampanyaları daha sık hale geldi” dedi.
TA4903 ile İlişkili Taktikler, Teknikler ve Prosedürler (TTP'ler)
TA4903'ün, ABD devlet kurumlarının kimliğine bürünen portallara yol açan PDF eklerini kullanarak kimlik bilgisi hırsızlığı kampanyaları yürüttüğü biliniyor. Bu portallar genellikle teklif teklifleriyle cezbedilir.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
2023'ün sonlarında TA4903, USDA'nın kimliğine bürünmeye ve PDF'lerine QR kodları eklemeye başladı; bu, bu aktörün daha önce kullanmadığı bir taktikti.
2023'teki yeni taktikler, teknikler ve prosedürler, gizli belgelere, ACH ödemelerine ve güvenli mesaj tuzaklarına atıfta bulunan yem temalarının kullanımının yanı sıra URL'lerin, HTML eklerinin veya sıkıştırılmış HTML eklerinin kullanımını içeriyordu.
Bu ZIP eklerindeki HTML içerikleri, sahte bir Microsoft O365 oturum açma sayfası web sitesine işaret eden URL'lere sahipti. Bu web sitesinin amacı kullanıcı adlarını ve şifreleri elde etmektir.
2023 yılı boyunca TA4903'ün, ters proxy çok faktörlü kimlik doğrulama atlama araç seti olan EvilProxy'yi kullandığı görüldü; ancak yılın ilerleyen dönemlerinde kullanımı azalmış ve 2024 yılı itibarıyla kullanılmadığı görülmüştür.
Proofpoint, fatura sahtekarlığına teşebbüs etmek için özel olarak tasarlanmış çok sayıda BEC kampanyası vakasına tanık oldu.
Benzer alanlar ve yanıt manipülasyonu, bu kampanyalarda genellikle alıcıları kandırmak için kullanılır.
Araştırmacılar, “Bu kampanyalara yönelik temaların ve hedeflerin, genellikle orijinal kurbanın iş ortaklarını ve finansal kurumlarını hedef alan önceki kimlik avı kampanyaları sırasında ele geçirilen hesaplardan toplanan bilgilerle oluşturulduğuna büyük bir güvenle” dedi.
Daha önceki devlet sahtekarlığı veya diğer kimlik hırsızlığı faaliyetleriyle karşılaştırıldığında araştırmacılar, bu kampanyaların daha hızlı bir operasyonel tempoda çalıştığının tespit edildiği sonucuna vardı.
Bu tür kampanyaların etkinliği aktörün taktiklerinin değişmesine neden olmuş olabilir ya da TTP'lerin tamamında kısa bir değişiklik olabilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.