金銭的動機を持つ脅威アクターがビジネスプロセスアウトソーシング(BPO)組織を標的にして、高価値企業に関連するデータを盗もうとしていると、Google脅威インテリジェンスグループ(GTIG)が警告しています。
UNC6783として追跡されている脅威アクターは、最近、第三者サプライヤーから様々なAdobeデータの盗難を主張した「Raccoon」というペルソナを使用するハッカーに潜在的に関連しています。
GTIG主任脅威アナリストのAustin Larsenは述べており、UNC6783は複数の業界にわたる数十の高価値企業を標的にしたソーシャルエンジニアリングおよびフィッシングキャンペーンに従事しています。
「このアクターは主に、これらの標的企業と連携するビジネスプロセスアウトソーサー(BPO)の侵害に焦点を当てています。また、信頼されたアクセスを獲得し、恐喝作戦のために機密データを盗むために、これらの組織のサポートおよびヘルプデスク担当者を直接標的にしているのを目撃しています」とLarsenは述べています。
この脅威アクターはライブチャットを利用して従業員を偽造されたOktaログインページに誘導し、標準的な多要素認証(MFA)検証を回避するためにクリップボードの内容を盗むフィッシングキットを使用しています。
GTIGによると、UNC6783のソーシャルエンジニアリング戦術には、標的となる組織のドメインになりすまして偽造されたZendeskサポートページが含まれています。
標的となった従業員のアカウントを使用して、ハッカーは独自のデバイスを登録して、侵害された環境への永続的なアクセスを獲得します。
「また、被害者をリモートアクセスマルウェアのダウンロードに誘導するために、偽造されたセキュリティソフトウェア更新を使用しているのを目撃しています。データ流出後、UNC6783はデータ盗難恐喝作戦のために身代金メモを配信するためにProtonMailアカウントを使用することが知られています」とLarsenは述べています。
Mr. RaccoonがAdobeデータ盗難を主張
GTIGによるUNC6783の戦術の説明とRaccoonへの言及は、この脅威アクターが、インドのBPO企業から大量のAdobeデータの盗難を主張しているMr. Raccoonと同じであることを示唆しています。
ハッカーが言うところでは、盗まれたデータには15,000人の従業員の個人情報、数百万件のサポートチケット、およびバグ報奨金の提出が含まれています。
この攻撃は報告によると、BPOのサポートエージェントを標的にしたフィッシングメールで始まり、彼はRATを実行するよう騙され、ハッカーに彼のコンピューターへの完全なアクセスを与えました。
次に、攻撃者は偵察を実行し、従業員のメールアドレスを使用して2番目のフィッシングメールをマネージャーに送信しました。マネージャーはサポートプラットフォームの認証情報を提供しました。
Mr. Raccoonは、1つのリクエストでプラットフォームからAdobe データベース全体をエクスポートしたと主張しました。
SecurityWeekはハッカーの主張についてAdobeにコメントをメールで送信しており、同社が応答した場合は本記事を更新します。
翻訳元: https://www.securityweek.com/google-warns-of-new-campaign-targeting-bpos-to-steal-corporate-data/
