研究者たちは、最近のソーシャルエンジニアリング攻撃に関連するハッカーがカスタマーサービス環境を標的にしていると警告しています。
Reliaquestの研究者によると、Scattered Lapsus$ Huntersに関連するハッカーがZendesk環境に対する脅威キャンペーンを準備している可能性があります。
過去6か月間で、Zendesk環境を模倣した約40のタイポスクワッティングやなりすましドメインが作成されました。水曜日に公開されたブログによると、Reliaquestによるものです。Zendeskはクラウドベースのカスタマーサービスおよび営業ソフトウェアを提供する企業です。
ブログによると、これらのドメインの一部は偽のシングルサインオンポータルを含むフィッシングページをホストしており、ユーザーを騙して認証情報を盗むために使用される可能性があります。
Reliaquestによると、これらのドメインにはCloudflareでマスクされたネームサーバー、米国および英国を拠点とする登録者の連絡先情報、NiceNikを通じた登録など、いくつかの重要なレジストリ情報が含まれていました。
研究者たちは、ハッカーが正規のZendeskポータル(カスタマーサービスのために企業が運用しているもの)に不正なチケットを提出している証拠があると警告しています。Reliaquestによると、不正なチケットはヘルプデスクやサポート担当者を標的にし、リモートアクセス型トロイの木馬やその他のマルウェアに感染させることを目的としています。
Reliaquestの広報担当者は、研究者たちがその調査結果をZendeskと共有したと述べました。
「当社のセキュリティチームは、潜在的なフィッシングサイト、不正なドメイン、または悪意のある活動のための商標の不正使用を継続的に監視しています」とZendeskの広報担当者はCybersecurity Diveにメールで述べています。「新たな脅威には迅速に対応し、影響を受ける関係者に警告し、必要に応じてお客様の安全を確保するための保護措置を講じています。」
Reliaquestによると、これらの要素は、Scattered Lapsus$ HuntersがSalesforce環境を標的とした8月のキャンペーンに関連して発見された詳細と類似しています。
ZendeskとHubspotは先月末、Gainsightの顧客がSalesforceに関連する脅威キャンペーンの標的となった後、同社との接続を一時停止しました。Google Threat Intelligence Groupの研究者によると、先月、Salesforceの顧客データがGainsightとの接続を通じて侵害された可能性がある200件以上のケースが調査されています。
Reliaquestによると、Zendeskを標的としたキャンペーンは、Discordに関連する攻撃の2か月後に発生しています。その事件では、ハッカーがDiscordがカスタマーサービスのために利用しているサードパーティベンダーを標的にしました。
その事件では、約7万人のユーザーの政府発行ID写真が流出した可能性があるとDiscordのブログ投稿が伝えています。カスタマーサービスや安全対策チームを通じてDiscordに連絡した顧客に関する特定のデータが盗まれました。
Discordによると、ハッカーは身代金を得ることを目的としていました。
翻訳元: https://www.cybersecuritydive.com/news/hackers-threat-campaign-zendesk-environments/806666/
