美国卫生部警告针对 IT 服务台的攻击

美国卫生与公众服务部（HHS）报告称，威胁行动者正在对医疗保健和公共卫生（HPH）部门的IT帮助台发起攻击。卫生部门网络安全协调中心（HC3）最近观察到威胁行动者使用复杂的社交工程策略，针对卫生部门的IT帮助台进行攻击。

攻击者的目标是获取对目标组织的初始访问权限。攻击者通过来自本地区号的电话联系目标组织的IT帮助台，并声称自己是财务职位的员工。为了证明其身份，威胁行动者提供了用于身份验证的必要敏感信息，包括目标员工社会安全号码（SSN）的最后四位数字和公司ID号码，以及其他人口统计信息。攻击者可能通过专业社交网络网站和开放情报活动获取了这些详细信息。攻击者声称由于他们的手机损坏，无法登录或接收多因素认证（MFA）令牌。然后，攻击者欺骗IT帮助台注册一个新设备以进行多因素认证（MFA），以获得访问公司资源的权限。在获取对目标组织的初始访问权限后，威胁行动者专注于获取付款方网站的登录凭据，从而使他们能够更改用于支付账户的ACH详细信息。然后，他们使用被入侵的员工电子邮件账户来劫持支付。

HC3部门警报中指出：“在获得访问权限之后，威胁行动者专门针对与付款方网站相关的登录信息进行攻击，然后提交表格以对付款方账户进行ACH更改。一旦访问了员工电子邮件账户，他们就会向付款处理器发送指令，将合法支付转移到攻击者控制的美国银行账户。资金随后被转移到海外账户。在恶意活动期间，攻击者还注册了一个与目标组织的一个字母有所不同的域，并创建了一个冒充目标组织首席财务官（CFO）的账户。” 

根据警报，在某些情况下，威胁行动者尝试利用AI语音模仿技术作为其社交工程策略的一部分。警报中提到的全球研究显示，受访者中有25％的人报告经历过或了解到某人成为AI语音克隆诈骗的受害者。警报指出，报告中描述的社交工程技术类似于2023年9月针对酒店和娱乐行业组织的攻击中采用的方法。这些攻击被归因于一个名为Scattered Spider（也称为UNC3944）的威胁行动者。攻击旨在通过ALPHV（也称为BlackCat）勒索软件感染目标基础设施。然而，UNC3944尚未声称对卫生部门进行攻击。 警报中包含了医疗保健组织可以实施的措施，以阻止针对IT帮助台的攻击。

以下是建议采取的一些行动：要求回拨到员工在记录中的电话号码以进行密码重置和新设备注册。监视任何可疑的ACH更改，并重新验证所有访问付款方网站的用户。制定政策，要求与员工直接主管联系以验证这些请求。培训帮助台工作人员识别和报告社交工程技术和钓鱼尝试，并告知他们对来电者的身份持怀疑态度并进行验证。

原文始发于微信公众号（黑猫安全）：美国卫生部警告针对 IT 服务台的攻击