近日，Proofpoint 的安全分析師發現一個專門從事商業電子郵件泄露（BEC）攻擊的黑客團夥 TA4903 ，該組織一直在冒充美國政府機構，誘使受害者打開帶有虛假投標流程鏈接的惡意文件。

Proofpoint 觀察到的數據顯示，威脅攻擊者已經假冒了美國交通部、美國農業部 (USDA) 和美國小企業管理局 (SBA)等多個美國機構。

據悉，黑客團夥 TA4903 至少從 2019 年起就開始活躍在互聯上，2023 年年中到 2024 年期間又增加了活動頻次。網絡安全研究人員觀察到 TA4903 使用的最新手段是在 PDF 文檔附件上”附著“二維碼。

虛假競標電話 PDF（Proofpoint）

這些 PDF 使用統一風格，具有相同的元數據（包括指向尼日利亞血統的作者姓名），一旦受害者掃描二維碼，就會立刻被重定向到仿冒美國政府機構的官方門戶網站上。

冒充美國農業部的釣魚網站（Proofpoint）

跟隨釣魚郵件中的”誘餌“，收件人可能會被”引誘“到 O365 登錄頁面，並要求其輸入登錄憑據。值得一提的是，TA4903 黑客團夥曾依靠 "EvilProxy "繞過多因素身份驗證 (MFA) 保護，但 Proofpoint 表示近期沒有觀察到其使用反向代理。

Proofpoint 表示黑客團夥 TA4903 的攻擊活動純粹是出于經濟動機，主要采用了以下策略：

未經授權訪問企業網絡或電子郵件賬戶；

在被入侵的賬戶中搜索與銀行信息、支付或商家相關的關鍵字，尋找金融欺詐的機會；

進行 BEC 攻擊，例如從被入侵的電子郵件賬戶向其他員工或合作夥伴發送欺詐性付款或發票請求。

安全研究人員在 2023 年年中幾個案例中發現，威脅攻擊者試圖誘騙財務部門的員工更新付款詳情（這些信息是從目標合作組織的受損電子郵件帳戶或與之非常相似的地址發送的）

網絡攻擊主題信息（Proofpoint）

TA4903 黑客組織出道以來，以美國多個組織爲攻擊目標，發起了大量電子郵件攻擊，嚴重影響其網絡環境安全穩定。近期，安全研究人員注意到 TA4903 組織從欺騙美國政府實體轉向冒充小型企業，但目前還不清楚這種轉變是暫時的還是長期的。

參考文章：

https://www.bleepingcomputer.com/news/security/hackers-impersonate-us-government-agencies-in-bec-attacks/