Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 11 maart 2024

Dreigingsactor TA4903 richt pijlen op overheden en bedrijven VS

Dreigingsactor TA4903 bespioneert zowel Amerikaanse overheidsinstanties als particuliere bedrijven in meerdere sectoren. De aanvaller kent een financieel motief, en richt zijn pijlen met name op bedrijven in de Verenigde Staten, hoewel in sommige gevallen ook wereldwijde organisaties doelwit zijn.

Security Data protection Overheid
Dreigingsactor TA4903 richt pijlen op overheden en bedrijven VS image

Dit blijkt uit onderzoek van Proofpoint. Het cybersecuritybedrijf schat in dat het stelen van bedrijfsreferenties, het infiltreren van mailboxen en het uitvoeren van vervolgactiviteiten op het gebied van Business Email Compromise (BEC) doelen van de campagne zijn.

Proofpoint meldt sinds december 2021 een reeks campagnes waar te nemen. Hierbij werden federale Amerikaanse overheidsinstanties nagebootst. De campagnes die daarna aan TA4903 werden toegeschreven, deden zich eerst voor als het Amerikaanse Ministerie van Arbeid. In de campagne van 2022 gaven de dreigingsactoren zich uit voor de Amerikaanse Ministeries van Huisvesting en Stedelijke Ontwikkeling, Transport en Handel. En in 2023 deed de dreigingsactor zich voor als het Amerikaanse Ministerie van Landbouw.

Afbeelding 1. Phishing website die een Amerikaanse overheidsdienst nabootst

Diverse sectoren doelwit

Proofpoint zag halverwege 2023 tot en met 2024 een toename van phishing- en fraudecampagnes die verschillende TA4903-themas gebruikten. De actor bespioneerde verschillende midden- en kleine bedrijven (mkb’s) in verschillende sectoren, zoals bouw, productie, energie, financiën, voeding en drank.

Ook zag Proofpoint een toename in het tempo van BEC-thema's. Een voorbeeld hiervan is het gebruik van het onderwerp ‘cyberaanvallen’, met als doel het lospeuteren van betalings- en bankgegevens van de slachtoffers. Daarnaast werd de dreigingsactor in 2023 geobserveerd met EvilProxy, een reverse proxy toolkit voor het omzeilen van multi-factor authenticatie (MFA). Het gebruik hiervan nam later in 2023 af. Dit jaar is het gebruik van EvilProxy door TA4903 nog niet geobserveerd.

Afbeelding 2. Voorbeeld van een cyberaanval via een BEC-mail

Referenties stelen

De meeste phishing-berichten die betrekking hebben op het stelen van referenties, worden gelinkt aan TA4903. Deze berichten bevatten URL’s of bijlagen die leiden naar phishingwebsites voor het stelen van referenties. In sommige gevallen, zoals campagnes met een overheidsthema, bevatten de berichten een pdf-bijlage met ingesloten links of QR-codes die leiden naar websites die directe duplicaties zijn van een overheidsinstantie.

De activiteiten die betrekking hebben op het imiteren van Amerikaanse overheidsinstanties door TA4903 gaan terug tot ten minste 2021. Dit blijkt uit onderzoek, tactieken, technieken en procedures (TTP’s) van Proofpoint, waargenomen in open-source-inlichtingen. TTP’s die verband hebben met de bredere activiteiten van de actor op het gebied van referentie phishing en BEC zijn al sinds 2019 waarneembaar.

Meer informatie is hier beschikbaar.

BW Dutch IT Partner Day tm 11-06-2024 Nutanix BW start 6 mei - 20 mei

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events
BN en BW Anderswerken 15-05-2024 tm 31-05-2024

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!