Podmiot zagrażający śledzony jako UNC6783 naraża dostawców outsourcingu procesów biznesowych (BPO) w celu uzyskania dostępu do wartościowych firm z wielu sektorów. Według Google Threat Intelligence Group (GTIG) celem były dziesiątki podmiotów korporacyjnych, co doprowadziło do ekstrakcji wrażliwych danych w celu wymuszenia.
Austin Larsen, główny analityk zagrożeń GTIG, stwierdza, że UNC6783 zazwyczaj wykorzystuje socjotechnikę i kampanie phishingowe w celu naruszenia bezpieczeństwa BPO. Hakerzy skontaktowali się również z personelem wsparcia i pomocy technicznej w docelowych organizacjach, aby uzyskać bezpośredni dostęp.
Badacze sugerują, że UNC6783 może być powiązany z osobą znaną jako Raccoon, która wcześniej obierała za cel wiele BPO. W przypadku ataków socjotechnicznych za pośrednictwem czatu na żywo osoba zagrażająca kieruje pracowników pomocy technicznej do fałszywych stron logowania Okta w domenach podszywających się pod strony docelowej firmy, w szczególności zgodnie ze wzorcem [.]zendesk-support<##>[.]com.
Larsen zauważa, że zestaw do phishingu używany w tych atakach może kraść zawartość schowka, umożliwiając atakującym ominięcie ochrony polegającej na uwierzytelnianiu wieloskładnikowym (MFA) i zarejestrowanie swoich urządzeń w organizacji. Firma Google odnotowała ataki, podczas których UNC6783 dostarczała fałszywe aktualizacje zabezpieczeń w celu zainstalowania złośliwego oprogramowania umożliwiającego dostęp zdalny.
Po zdobyciu wrażliwych danych cyberprzestępca wyłudza ofiary, kontaktując się z nimi za pośrednictwem adresów ProtonMail z żądaniami zapłaty. Choć GTIG nie podało dodatkowych szczegółów na temat Raccoon, International Cyber Digest poinformował, że osoba posługująca się pseudonimem „Mr. Raccoon” przyznała się do naruszenia w firmie Adobe, czego firma jeszcze nie potwierdziła.
Pan Raccoon twierdził, że uzyskał dostęp do danych Adobe, włamując się do powiązanego z tą firmą BPO z siedzibą w Indiach. Osoba atakująca rzekomo zainstalowała na komputerze pracownika trojana zdalnego dostępu (RAT), a celem ataku phishingowego była jego przełożona.
Osoba atakująca twierdziła, że ukradła 13 milionów zgłoszeń do pomocy technicznej, które obejmowały dane osobowe, akta pracowników, zgłoszenia do HackerOne i dokumenty wewnętrzne. W rozmowach z BleepingComputer ugrupowanie zagrażające stojące za włamaniem do CrunchyRoll potwierdziło swój udział w ataku Adobe, ale nie przedstawiło dowodów.
Mandiant firmy Google zalecił kilka zabezpieczeń przed atakami UNC6783. Zalecenia obejmują wdrażanie kluczy bezpieczeństwa FIDO2 dla usługi MFA, monitorowanie czatu na żywo pod kątem nadużyć, blokowanie fałszywych domen pasujących do wzorców Zendesk i regularne kontrolowanie rejestracji urządzeń MFA.
