美国卫生部警告 IT 服务台遭受攻击

最近，卫生部门网络安全协调中心（HC3）注意到黑客正在采用社会工程策略，针对卫生部门的IT服务台展开攻击，旨在获取目标组织的初步访问权限。

攻击者利用本地区号拨打电话联系目标组织的IT服务台，冒充担任财务职务的员工。他们提供了身份验证所需的敏感信息，包括目标员工的社会安全号码（SSN）和公司ID号码的最后四位数字，以及其他人口统计详细信息。

攻击者可能从专业网站和开源情报活动获取这些详细信息。他们声称由于手机损坏，无法登录或接收多重身份验证（MFA）令牌。接着，欺骗IT服务台注册新设备的多重身份验证中，以获取对公司资源的访问权限。

在获取对目标组织的初始访问权限后，黑客着重于获取付款人网站的登录凭据，以修改付款账户的ACH详细信息。随后，他们利用受损的员工电子邮件账户进行支付劫持。

根据HC3扇区警报，黑客在获得访问权限后，专门瞄准付款人网站的登录信息，并填写了一份表格以更改付款人账户的ACH详细信息。随后，他们利用所获取的员工电子邮件账户向支付处理商发送指令，将合法付款转移到受攻击者控制的美国银行账户，接着将资金转移到海外账户。

此外，黑客还注册了一个带有目标组织单字母变体的域名，并创建了一个冒充目标组织首席财务官（CFO）的账户。

根据警报，黑客在某些情况下尝试利用人工智能语音模拟技术作为其社会工程策略的一部分。其中引用的研究显示，25%的受访者表示曾经遭遇或了解某人成为人工智能语音克隆骗局的受害者。

该警报还指出，报告中描述的社会工程技术与2023年9月针对酒店和娱乐行业组织的攻击中使用的技术相似。这些攻击是由名为Scattered Spider（也称为UNC3944）的黑客发起的。

本次攻击旨在利用ALPHV（也称为BlackCat）勒索软件感染目标基础设施。然而，UNC3944尚未对针对卫生部门的攻击负责。

同时，该警报包含了医疗保健组织可能采取的缓解措施，以防止针对IT服务台的攻击。以下是一些建议的行动：

• 要求回拨员工记录的电话号码，并执行密码重置和新设备注册的验证流程。

• 监控任何可疑的 ACH 更改并重新验证所有访问付款人网站的用户。

• 实施政策，要求联系员工主管以核实这些请求。

• 培训服务台工作人员识别和报告社会工程技术和鱼叉式网络钓鱼尝试，并引导他们在怀疑及验证呼叫者身份时采取适当的措施。