研究者たちによると、ハッカーたちは業務プロセスアウトソーシング企業を侵害し、ヘルプデスクサポートをターゲットにしていると述べています。
経済的な動機を持つ脅威クラスターによるソーシャルエンジニアリングキャンペーンが、Google脅威インテリジェンスグループの研究者によると、数十の標的組織から支払いを強要するために発見されました。
UNC6783として追跡されている脅威クラスターは、標的組織と連携する業務プロセスアウトソーシング企業を侵害することで活動しており、GTIG の主任脅威アナリストである Austin Larsen は、LinkedIn 投稿で述べています。このクラスターは「Raccoon」というペルソナを使用する工作員との潜在的なつながりがあります。
他の場合には、ハッカーたちは信頼を獲得し機密データを盗むため、標的組織のサポートまたはヘルプデスク スタッフを狙っています。
Larsen によると、ハッカーたちはライブチャットを使用して従業員を悪意のある Okta ログインページに誘導しています。フィッシングキットは多要素認証をバイパスするために使用されます。ハッカーたちはその後、自分自身が登録したデバイスを使用して、標的環境への永続的なアクセスを得ます。
場合によっては、偽のセキュリティソフトウェアがワーカーをだまして、リモートアクセス マルウェアをダウンロードさせるために使用されています。脅威クラスターは被害者に身代金メモを送信するために Proton メールを使用しています。
GTIG 研究者は影響を受けた特定の組織の名前を明かしていませんが、複数の業界セクターにわたって数十の組織がターゲットにされたと述べています。
Cybersecurity Dive は以前、Mr. Raccoon というペルソナが Adobe に対するソーシャルエンジニアリング攻撃の責任を主張したことを知りました。このハッカーは大量のサポートチケットを流出させたと主張しています。Adobe はコメント要求に応じていません。
セキュリティチームはフィッシング耐性のある多要素認証を実装し、不正なドメインを積極的にブロックする必要があります。
翻訳元: https://www.cybersecuritydive.com/news/threat-actor-social-engineering-raccoon-persona/816804/
