TA4903 - это финансово мотивированный киберпреступник, который подделывает сообщения как для государственных организаций США, так и для частных компаний из разных отраслей. В основном он атакует организации, расположенные в Соединенных Штатах, но иногда и те, что находятся по всему миру, с помощью масштабных кампаний по электронной почте. По оценкам Proofpoint, целью этих кампаний с высокой степенью уверенности является кража корпоративных учетных данных, проникновение в почтовые ящики и последующая деятельность по взлому деловой электронной почты (BEC).
- TA4903 - это уникальный угрожающий субъект, который демонстрирует как минимум две разные цели: фишинг учетных данных и компрометация деловой электронной почты (BEC).
- TA4903 регулярно проводит кампании, подделываясь под различные правительственные организации США, чтобы украсть корпоративные учетные данные.
- Он также подделывает организации из различных отраслей, включая строительство, финансы, здравоохранение, производство продуктов питания и напитков и другие.
- Объем кампаний составляет от сотен до десятков тысяч сообщений за одну кампанию.
- Как правило, сообщения направлены на организации в США, хотя были замечены и другие глобальные адресаты.
- TA4903 был замечен в использовании инструмента обхода MFA EvilProxy.
- В конце 2023 года TA4903 начал использовать QR-коды в фишинговых кампаниях для получения учетных данных.
Indicators of Compromise
Domains
- index-dol.com
- orga-portal.com
- Shortsync.net
URLs
- http://tracking.tender-usdabids.com
- https://auth01-usda.com
- https://index-dolbid2024.com
SHA56
- 15b9ae1ab5763985af2e6fe0b22526d045666609ad31829b8926466599eeb284
- 6f776331d7c49ab6e403f84409c062db0b2027429e47e3533e8c6098c5f12156
- d398eef8cf3a69553985c4fd592a4500b791392cf86d7593dbdbd46f8842a18d
- ed4134de34fbc67c6a14c4a4d521e69b3cd2cb5e657b885bd2e8be0e45ad2bda