Злоумышленник, отслеживаемый как UNC6783, компрометирует поставщиков аутсорсинга бизнес-процессов (BPO), чтобы получить доступ к дорогостоящим компаниям в различных секторах. По данным Google Threat Intelligence Group (GTIG), десятки корпоративных организаций подверглись атакам, что привело к краже конфиденциальных данных для вымогательства.
Остин Ларсен, главный аналитик угроз GTIG, утверждает, что UNC6783 обычно полагается на социальную инженерию и фишинговые кампании для компрометации BPO. Хакеры также связались со службой поддержки и службы поддержки целевых организаций, чтобы получить прямой доступ.
Исследователи предполагают, что UNC6783 может быть связан с личностью, известной как Енот, которая ранее атаковала несколько BPO. В ходе атак социальной инженерии через чат злоумышленник направляет сотрудников службы поддержки на поддельные страницы входа в Okta на доменах, выдающих себя за страницы целевой компании, в частности по шаблону [.]zendesk-support<##>[.]com.
Ларсен отмечает, что фишинговый комплект, использованный в этих атаках, может украсть содержимое буфера обмена, позволяя злоумышленникам обойти защиту многофакторной аутентификации (MFA) и зарегистрировать свои устройства в организации. Google отметил атаки, в ходе которых UNC6783 доставлял поддельные обновления безопасности для установки вредоносного ПО для удаленного доступа.
Получив конфиденциальные данные, злоумышленник вымогает деньги у жертв, связываясь с ними по адресам ProtonMail с требованиями оплаты. Хотя GTIG не предоставил дополнительных подробностей о Raccoon, International Cyber Digest сообщил, что кто-то, использовавший псевдоним «Мистер Енот», взял на себя ответственность за взлом в Adobe, который компания еще не подтвердила.
Г-н Раккун предположительно получил доступ к данным Adobe, скомпрометировав базирующегося в Индии BPO, связанного с компанией. Злоумышленник предположительно развернул троян удаленного доступа (RAT) на компьютере сотрудника и подверг фишинговой атаке его менеджера.
Злоумышленник утверждал, что украл 13 миллионов обращений в службу поддержки, которые включали личные данные, записи сотрудников, материалы HackerOne и внутренние документы. В беседах с BleepingComputer злоумышленник, стоящий за взломом CrunchyRoll, подтвердил свою причастность к атаке на Adobe, но не предоставил доказательств.
Компания Google Mandiant рекомендовала несколько способов защиты от атак UNC6783. Рекомендации включают развертывание ключей безопасности FIDO2 для MFA, мониторинг онлайн-чата на предмет злоупотреблений, блокировку поддельных доменов, соответствующих шаблонам Zendesk, и регулярный аудит регистрации устройств MFA.
<час />
