Neue Phishing-Aktivitäten der Hacker-Gruppe TA4903

Hacker, TA4903, Phishing

Die Cybersecurity-Experten von Proofpoint haben neue Kampagnen der Cyberkriminellen-Gruppe TA4903 identifiziert, die sich auf Phising und Business Email Compromise (BEC, auch CEO-Betrug genannt) spezialisiert hat. Bei der Gruppe handelt es sich um finanziell motivierte Cyberkriminelle, die in letzter Zeit durch groß angelegte E-Mail-Kampagnen von sich reden gemacht hat.

Dabei geraten vor allem US-amerikanische Organisationen ins Fadenkreuz der Angreifer, gelegentlich auch Unternehmen aus anderen Teilen der Welt.

Anzeige

Die wichtigsten Erkenntnisse von Proofpoint zu TA4903:

  • TA4903 verfolgt zwei Hauptziele: Phishing von Zugangsdaten und BEC.
  • Die Gruppe führt regelmäßig Kampagnen durch, bei denen sie sich als verschiedene US-Regierungsstellen ausgibt, um Zugangsdaten von Unternehmen zu stehlen.
  • TA4903 gibt sich auch als unterschiedliche Organisationen verschiedener Branchen aus, darunter Bau, Finanzen, Gesundheitswesen, Lebensmittel und Getränke sowie weitere.
  • Der Umfang ihrer Kampagnen reicht von Hunderten bis zu Zehntausenden Nachrichten pro Kampagne.
  • Die Gruppe wurde bei der Verwendung des EvilProxy MFA-Bypass-Tools beobachtet und macht sich seit Ende 2023 QR-Codes zum Diebstahl von Anmeldeinformationen zunutze.

Proofpoint hat die Aktivitäten von TA4903 bis mindestens Mitte 2021 zurückverfolgt, wobei Indizien darauf hindeuten, dass ihre Phishing-Aktivitäten im Zusammenhang mit dem Diebstahl von Anmeldeinformationen sowie BEC-Angriffe bereits seit 2019 stattfinden. Die Gruppe gab sich im Dezember 2021 bei Angriffen zunächst als US-Arbeitsministerium aus. Später missbrauchte sie den Namen anderer Ministerien, darunter das für Wohnungsbau und Stadtentwicklung, Verkehr und Handel. Im Jahr 2023 dann ging TA4903 dazu über, sich als US-Landwirtschaftsministerium auszugeben.

Ab Mitte 2023 bis 2024 konnte Proofpoint eine Zunahme der Phishing- und Betrugskampagnen von TA4903 feststellen, wobei die Angreifer begannen, verschiedene kleine und mittelgroße Unternehmen (KMU) verschiedener Branchen zu imitieren. Bei den jüngsten BEC-Kampagnen von TA4903 gibt sich die Gruppe folglich nicht mehr als staatliche Stelle aus, sondern tarnt sich stattdessen als vermeintliches KMU. Diese Kampagnen werden mit einer höheren operativen Geschwindigkeit durchgeführt als die zuvor beobachteten Kampagnen, bei denen die Gruppe US-Ministerien imitierte bzw. als in anderen Kampagnen zum Diebstahl von Anmeldeinformationen.

Einen Überblick über die neuesten Erkenntnisse von Proofpoint zu TA4903 finden Sie im neuesten Blog des Unternehmens.

www.proofpoint.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.