Googleによると、新しい恐喝グループが、フィッシングとヘルプデスク ソーシャルエンジニアリングを通じて「数十の優良企業」をターゲットにしています。
Google Threat Intelligence Groupは、経済的動機を持つグループをUNC6783として追跡しており、ブログ投稿の中で、主任脅威分析官のAustin Larsenは、「Raccoon」というペルソナとのつながりがある可能性があると述べています。
「私たちは、複数のセクターにわたってターゲットにされた数十の優良企業を認識しています」とLarsenは書きました。
UNC6783は、主に大手企業と協力するコールセンターとビジネスプロセスアウトソーサー(BPO)を侵害しています。これはScattered SpiderやShinyHuntersなどのグループが普及させた攻撃方法です。犯罪者がBPOのネットワークにアクセスしたら、BPO従業員から盗まれた正当な認証情報を使用して、顧客のIT環境に侵入することができます。
Googleはまた、企業のサポートとヘルプデスク スタッフを直接ターゲットにしてアクセスを獲得し、機密データを盗もうとする恐喝者たちを観察しています。
「このキャンペーンは、ライブチャットを通じたソーシャルエンジニアリングに依存して、従業員を悪意のある、なりすまされたOktaログインページに誘導しています」とLarsenは述べました。「これらのドメインは、<org>[.]zendesk-support<##>[.]comなどのドメインパターンを使用して、ターゲットされた組織になりすまします。」
攻撃者は、クリップボードの内容を盗むことによって多要素認証(MFA)をバイパスするためにフィッシング キットを使用し、その後、被害者の環境への永続的なアクセスのために自分のデバイスを登録します。
Googleはまた、被害者をだまして遠隔アクセス マルウェアをダウンロードさせるために、偽のセキュリティ ソフトウェア更新を使用している悪党を見つけています。
企業のデータを盗んだら、クルーはProton Mailアカウントを使用して、被害者に身代金要求状を送信します。
Googleは、UNC6783とその恐喝操作に関するThe Registerの問い合わせにすぐには対応しませんでした。
先週、International Cyber Digestは、Mr. Raccoonと自分たちを呼ぶ攻撃者によってAdobeが違反されたと報告しました。その攻撃者は、最初に1人の従業員にリモートアクセス ツールを配置し、その後、その従業員のマネージャーをフィッシングすることにより、インドのBPOを通じてアクセスを獲得したと報告されています。
データ盗賊は、個人データ付きの13百万のサポートチケット、15,000の従業員記録、すべてのHackerOneの提出、内部文書、およびその他の情報を盗んだと主張しました。
Adobeは、The Registerのコメント要求にすぐには対応しませんでした。
マルウェア ハンター vx-undergroundによると、Adobe違反は正当であるように見えます、そして「Adobeにヘルプデスク チケットを提出したり、あらゆる容量で支援をリクエストしたりした誰もが影響を受ける可能性があります」と述べています。®
