UNC6783として追跡される脅威アクターは、ビジネスプロセスアウトソーシング(BPO)プロバイダーを侵害し、複数のセクターの高い価値を持つ企業へのアクセスを獲得しています。
Googleの脅威インテリジェンスグループによると、機密データを流出させて恐喝を目的とした数十の企業がこの方法で標的にされています。
GTIGの主任脅威アナリストであるオースティン・ラーセンは、UNC6783が通常、標的企業と協力しているBPOを侵害するために、ソーシャルエンジニアリングとフィッシングキャンペーンに依存していると述べています。
ただし、ハッカーが標的組織内のサポートおよびヘルプデスクスタッフにも連絡し、直接アクセスを取得しようとした例もあります。
研究者は、UNC6783が、大企業にサービスを提供する複数のBPOを標的にしていることで知られているペルソナであるRaccoonにリンクされている可能性があると述べています。
ライブチャットでのソーシャルエンジニアリング攻撃では、脅威アクターがサポート従業員を偽のOktaログインページに導きます。これらのページは、ターゲット企業になりすましたドメインでホストされており、パターン<org>[.]zendesk-support<##>[.]comに従っています。
ラーセン氏は、これらの攻撃に展開されたフィッシングキットはクリップボードコンテンツを盗んで多要素認証(MFA)保護をバイパスし、攻撃者が自分のデバイスを組織に登録できるようにすると述べています。
Googleはまた、UNC6783がリモートアクセスマルウェアを配信するために偽のセキュリティアップデートを配布した攻撃も観察しています。
機密データを盗んだ後、脅威アクターは被害者を恐喝し、ProtonMailアドレス経由で身代金要求をして連絡します。
GTIGはRaccoonについてのさらに詳しい情報は提供していませんが、脅威インテリジェンスアカウントの「International Cyber Digest」は最近、「Mr. Raccoon」というエイリアスを使用している誰かがAdobeでの侵害を主張したと開示しました。同社はまだこれを確認していません。
攻撃者は、同社と協力するインド系のBPOを侵害した後、Adobeのデータへのアクセスを獲得したと主張しました。彼らは従業員のコンピューターにリモートアクセストロイの木馬(RAT)を展開し、その後、従業員のマネージャーをフィッシング攻撃で標的にしました。
Mr. Raccoonは、個人データ、従業員記録、HackerOne提出物、および内部ドキュメントを含む1300万件のサポートチケットを盗んだと述べました。
BleepingComputerとの会話で、CrunchyRoll侵害の背後にいる脅威アクターは、彼らがAdobe攻撃の背後にもいたことを確認しましたが、証拠は提供しませんでした。
GoogleのMandiantは、UNC6783攻撃に対するいくつかの防御提案をリストアップしました。これには、MFA用のFIDO2セキュリティキーの展開、ライブチャットの虐待の監視、Zendeskパターンに一致する偽のドメインのブロック、およびMFAデバイス登録の定期的な監査が含まれます。
