被追踪为 UNC6783 的威胁参与者正在危害业务流程外包 (BPO) 提供商,以获取跨多个行业的高价值公司的访问权限。据谷歌威胁情报组织 (GTIG) 称,数十家企业实体已成为目标,导致敏感数据被泄露以用于勒索。
GTIG 首席威胁分析师 Austin Larsen 表示,UNC6783 通常依赖社会工程和网络钓鱼活动来危害 BPO。黑客还联系了目标组织内的支持和帮助台工作人员以获得直接访问权限。
研究人员认为 UNC6783 可能与名为 Raccoon 的角色有关,该角色此前曾针对多个 BPO。在通过实时聊天进行的社会工程攻击中,威胁行为者将支持员工引导到冒充目标公司域的欺骗性 Okta 登录页面,特别是遵循 [.]zendesk-support<##>[.]com 模式。
Larsen 指出,这些攻击中使用的网络钓鱼工具包可以窃取剪贴板内容,使攻击者能够绕过多重身份验证 (MFA) 保护并向组织注册其设备。 Google 已注意到 UNC6783 提供虚假安全更新以安装远程访问恶意软件的攻击。
获取敏感数据后,威胁行为者会通过 ProtonMail 地址与受害者联系并提出付款要求,从而勒索受害者。虽然 GTIG 没有提供有关 Raccoon 的更多详细信息,但《国际网络文摘》报道称,有人使用别名“Raccoon 先生”声称对 Adobe 的违规行为负责,但该公司尚未证实这一点。
Raccoon 先生声称通过破坏与该公司相关的位于印度的 BPO 来访问 Adobe 数据。据称,攻击者在员工的计算机上部署了远程访问木马 (RAT),并以该员工的经理为目标发起网络钓鱼攻击。
攻击者声称窃取了 1300 万张支持票,其中包括个人数据、员工记录、HackerOne 提交内容和内部文件。在与 BleepingComputer 的讨论中,CrunchyRoll 漏洞背后的威胁参与者证实他们参与了 Adobe 攻击,但没有提供证据。
Google 的 Mandiant 推荐了几种针对 UNC6783 攻击的防御措施。建议包括为 MFA 部署 FIDO2 安全密钥、监控实时聊天是否滥用、阻止与 Zendesk 模式匹配的欺骗域,以及定期审核 MFA 设备注册。
<小时/>
