Новая группа UNC6783 атакует корпорации через фишинг и BPO. Возможная связь с заявленным взломом Adobe со стороны Mr. Raccoon. — theregister.com
По данным Google, новая группа вымогателей нацелилась на «несколько десятков крупных» корпораций с помощью фишинга и социальной инженерии через службу поддержки.
Группа по анализу угроз Google отслеживает эту финансово мотивированную группировку под названием UNC6783, и в публикации в блоге ведущий аналитик по угрозам Остин Ларсен заявил, что она может быть связана с псевдонимом «Raccoon» (Енот).
«Нам известно о нескольких десятках крупных корпоративных структур, ставших целями в различных секторах», — написал Ларсен.
UNC6783 в первую очередь компрометирует колл-центры и аутсорсинговые компании по бизнес-процессам (BPO), работающие с крупными фирмами — метод атаки, популяризированный такими группами, как Scattered Spider и ShinyHunters. Получив доступ к сетям BPO, злоумышленники могут использовать украденные легитимные учетные данные сотрудников BPO для проникновения в ИТ-среды их клиентов.
Google также зафиксировала, что вымогатели напрямую нацеливаются на сотрудников службы поддержки и хелпдеска корпораций, чтобы получить доступ и украсть конфиденциальные данные.
«Кампания полагается на социальную инженерию через живой чат, чтобы направить сотрудников на вредоносные поддельные страницы входа в Okta», — сообщил Ларсен. «Эти домены часто маскируются под целевую организацию, используя шаблон домена вида <организация> [.]zendesk-support<##>[.]com».
Злоумышленники используют фишинговый комплект для обхода многофакторной аутентификации (MFA) путем кражи содержимого буфера обмена, а затем регистрируют свои собственные устройства для постоянного доступа к средам жертв.
Google также заметила, что злоумышленники используют поддельные обновления программного обеспечения безопасности, чтобы заставить жертв загрузить вредоносное ПО для удаленного доступа.
После кражи данных корпораций банда использует учетные записи Proton Mail для доставки записок с требованием выкупа своим жертвам.
Google не сразу ответила на запросы The Register относительно UNC6783 и ее операций по вымогательству.
На прошлой неделе International Cyber Digest сообщил, что Adobe якобы была взломана злоумышленником, называющим себя Mr. Raccoon, который, по сообщениям, получил доступ через индийскую BPO, сначала внедрив инструмент удаленного доступа на одного сотрудника, а затем осуществив фишинг в отношении менеджера этого сотрудника.
Похититель данных утверждал, что украл 13 миллионов запросов в службу поддержки с личными данными, 15 000 записей о сотрудниках, все материалы HackerOne, внутренние документы и другую информацию.
Adobe не сразу ответила на запрос The Register о комментариях.
По данным охотников за вредоносным ПО vx-underground, взлом Adobe выглядит подлинным, и «пострадать мог любой, кто отправлял запрос в службу поддержки Adobe или обращался за помощью в любом качестве». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons