新しい脅威グループがライブチャットを使用してビジネスプロセスアウトソーサー(BPO)と大企業を恐喝の標的にしていると、Googleが警告しました。
Google脅威インテリジェンスグループ(GTIG)の主任脅威アナリストであるAustin Larsenによると、UNC6783は「Raccoon」というペルソナに関連する可能性のある、金銭的動機を持つ脅威クラスタです。
このグループは複数のセクターにわたる「高価値企業」数十社を標的にしており、主にそれらのBPOに焦点を当てていますが、時には社内のヘルプデスクおよびサポートチームを直接狙うこともあります。
恐喝の目的で機密データを盗くことが最終的な目標であると、Larsenは説明しました。
ヘルプデスク標的化についてさらに詳しく読む:Scattered Spiderがテクノロジーベンダーになりすまし、ヘルプデスクを標的とするフィッシングキットを使用
「このキャンペーンはライブチャットを通じたソーシャルエンジニアリングに依存しており、従業員を悪意のある偽装Oktaログインページに向かわせます。これらのドメインは[.]zendesk-support<##>[.]comなどのドメインパターンを使用して標的組織になりすまし、頻繁にマスカレードを行っています」とLarsenは述べました。
「彼らのフィッシングキットは、クリップボードの内容を盗むことで標準的な多要素認証(MFA)検証を回避するために使用され、その後攻撃者が永続的なアクセスのために独自のデバイスを登録できるようになります。」
別の方法として、GTIGチームはUNC6783がリモートアクセスマルウェアをダウンロードさせるために偽のセキュリティソフトウェア更新を使用しているのを観察しています。データ流出後の身代金要求メモを配信するためにProton Mailアカウントを使用することもあります。Larsenは続けています。
これらの戦術は、臭名高い恐喝に焦点を当てた集団Scattered Lapsus$ Huntersのものと非常に似ています。
昨年、Zendesk フィッシング ドメインを使用して従業員の認証情報を収集するキャンペーンに関するレポートが出現しました。ハッカーはまた、ヘルプデスクスタッフをリモートアクセストロイの木馬(RAT)およびその他のタイプのマルウェアに感染させるために、不正なチケットをヘルプデスクスタッフに提出しました。
BPOおよびヘルプデスクスタッフへのアドバイス
GTIGのLarsenは組織に次のことを促しました:
- FIDO2ハードウェアセキュリティキー(例:Titan Security Keys)などのフィッシング耐性MFAをすべてのユーザー、特にサポートやヘルプデスクなどのハイリスク職に実装する
- ユーザーを外部リンクに向かわせるような疑わしいインタラクションについてライブチャットを監視する
- この特定のキャンペーンについて従業員を教育する
- [.]zendesk-support[.]comパターンの不正なドメインを積極的にブロックする
- 不正なバイナリ実行を監視し、特にサポートセッション中にダウンロードされたインストーラーまたは「更新」を監視する
- 組織全体で新しく登録されたMFAデバイスを定期的に監査し、不正な追加がないか確認する
翻訳元: https://www.infosecurity-magazine.com/news/google-warns-group-targeting-bpos/
