UNC6783-nimellä jäljitetty uhkatekijä tekee kompromisseja liiketoimintaprosessien ulkoistamisen (BPO) tarjoajille päästäkseen käsiksi arvokkaisiin yrityksiin useilla aloilla. Google Threat Intelligence Groupin (GTIG) mukaan kohteena on ollut kymmeniä yrityksiä, mikä on johtanut arkaluonteisten tietojen suodattamiseen kiristystä varten.

Austin Larsen, GTIG:n tärkein uhka-analyytikko, toteaa, että UNC6783 luottaa tyypillisesti manipulointi- ja tietojenkalastelukampanjoihin BPO:iden vaarantamiseksi. Hakkerit ovat myös ottaneet yhteyttä kohdeorganisaatioiden tuki- ja tukihenkilökuntaan saadakseen suoran pääsyn.

Tutkijat ehdottavat, että UNC6783 voi olla yhteydessä Raccoon-nimiseen persoonaan, joka on aiemmin kohdistanut useita BPO:ita. Sosiaalisen manipuloinnin hyökkäyksissä live-chatin kautta uhkatekijä ohjaa tukityöntekijät väärennetyille Okta-kirjautumissivuille verkkotunnuksilla, jotka esiintyvät kohdeyrityksenä, noudattaen erityisesti mallia [.]zendesk-support<##>[.]com.

You Might Also Like
Wie lösche, verstecke oder deaktiviere ich einen Youtube-Kanal?
Wie lösche, verstecke oder deaktiviere ich einen Youtube-Kanal?
Jack Dorseyn ensimmäinen twiitti täyttää 20 vuotta, kun X häviää kilpailijoilleen
Jack Dorseyn ensimmäinen twiitti täyttää 20 vuotta, kun X häviää kilpailijoilleen
Kuinka luoda Hackintosh Windows-tietokoneellesi
Kuinka luoda Hackintosh Windows-tietokoneellesi

Larsen huomauttaa, että näissä hyökkäyksissä käytetty tietojenkalastelupaketti voi varastaa leikepöydän sisältöä, jolloin hyökkääjät voivat ohittaa monitekijätodennus (MFA) -suojauksen ja rekisteröidä laitteensa organisaatioon. Google on havainnut hyökkäyksiä, joissa UNC6783 toimitti väärennettyjä tietoturvapäivityksiä etäkäyttöhaittaohjelmien asentamiseksi.

Saatuaan arkaluontoisia tietoja uhkatekijä kiristää uhreja ja ottaa heihin yhteyttä ProtonMail-osoitteiden kautta ja pyytää maksuja. Vaikka GTIG ei toimittanut lisätietoja Raccoonista, International Cyber ​​Digest ilmoitti, että joku, joka käytti aliasta ”Mr. Raccoon”, ilmoitti olevansa vastuussa Adoben rikkomisesta, mitä yritys ei ole vielä vahvistanut.

Raccoon väitti päästäneen Adoben tietoihin vaarantamalla yritykseen liittyvän Intiassa sijaitsevan BPO:n. Hyökkääjän väitetään asentaneen etäkäyttötroijalaisen (RAT) työntekijän tietokoneeseen ja kohdistaen tietokalasteluhyökkäyksen työntekijän esimieheen.

Hyökkääjä väitti varastaneensa 13 miljoonaa tukilippua, jotka sisälsivät henkilötietoja, työntekijätietoja, HackerOne-ehdotuksia ja sisäisiä asiakirjoja. Keskusteluissa BleepingComputerin kanssa CrunchyRoll-loukkauksen takana oleva uhkatekijä vahvisti osallisuutensa Adobe-hyökkäykseen, mutta ei toimittanut todisteita.

Googlen Mandiant on suositellut useita suojautumiskeinoja UNC6783-hyökkäyksiä vastaan. Suosituksia ovat FIDO2-suojausavainten käyttöönotto MFA:lle, live-chatin väärinkäytön valvonta, Zendesk-malleja vastaavien huijausverkkotunnusten estäminen ja MFA-laitteiden rekisteröintien säännöllinen tarkastaminen.

Kuvansuositus