Злоумышленник UNC6783 атакует провайдеров BPO для доступа к крупным компаниям, используя фишинг и социальную инженерию. Цель — кража данных и вымогательство. Рекомендации включают FIDO2 и мониторинг чатов. — bleepingcomputer.com
Злоумышленник, отслеживаемый как UNC6783, компрометирует провайдеров аутсорсинга бизнес-процессов (BPO) для получения доступа к крупным компаниям в различных секторах.
По данным Google Threat Intelligence Group, таким методом были атакованы десятки корпоративных структур с целью эксфильтрации конфиденциальных данных для вымогательства.
Остин Ларсен, ведущий аналитик угроз GTIG, заявляет, что UNC6783 обычно использует методы социальной инженерии и фишинговые кампании для компрометации BPO, работающих с целевыми компаниями.
Однако были зафиксированы случаи, когда хакеры также обращались к сотрудникам служб поддержки и хелпдеска внутри целевых организаций, пытаясь получить прямой доступ.
Исследователи полагают, что UNC6783 может быть связан с Raccoon — персоной, известной атаками на ряд BPO, предоставляющих услуги крупным компаниям.
В ходе атак социальной инженерии через онлайн-чат злоумышленник направляет сотрудников поддержки на поддельные страницы входа в Okta, размещенные на доменах, имитирующих домены целевой компании, по шаблону [.]zendesk-support<##>[.]com .
Ларсен сообщает, что фишинговый комплект, используемый в этих атаках, способен красть содержимое буфера обмена для обхода защиты многофакторной аутентификации (MFA), что позволяет атакующему зарегистрировать свое устройство в организации.
Google также зафиксировала атаки, в ходе которых UNC6783 распространял поддельные обновления безопасности для доставки вредоносного ПО удаленного доступа.
После кражи конфиденциальных данных злоумышленник переходит к вымогательству, связываясь с жертвами по адресам ProtonMail с требованиями оплаты.
Хотя GTIG не предоставила дополнительной информации о Raccoon, аккаунт по анализу угроз International Cyber Digest недавно раскрыл, что некто под псевдонимом «Мистер Раккун» заявил о взломе Adobe, что компания пока не подтвердила.
Злоумышленник утверждал, что получил доступ к данным Adobe после компрометации индийского BPO, работавшего на компанию. Они развернули троян удаленного доступа (RAT) на компьютере сотрудника, а затем атаковали менеджера этого сотрудника фишинговой атакой.
Мистер Раккун заявил, что похитил 13 миллионов запросов в службу поддержки, содержащих личные данные, записи сотрудников, материалы HackerOne и внутренние документы.
В беседе с BleepingComputer злоумышленник, стоящий за взломом CrunchyRoll, подтвердил, что он также стоит за атакой на Adobe, но не предоставил никаких доказательств.
Компания Mandiant из Google перечислила ряд рекомендаций по защите от атак UNC6783, включая использование ключей безопасности FIDO2 для MFA, мониторинг онлайн-чатов на предмет злоупотреблений, блокировку поддельных доменов, соответствующих шаблонам Zendesk, и регулярный аудит регистрации устройств MFA.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas