Ein als UNC6783 verfolgter Bedrohungsakteur kompromittiert BPO-Anbieter (Business Process Outsourcing), um sich Zugang zu hochwertigen Unternehmen in mehreren Sektoren zu verschaffen. Nach Angaben der Google Threat Intelligence Group (GTIG) wurden Dutzende Unternehmen ins Visier genommen, was zur Exfiltration sensibler Daten zur Erpressung führte.
Austin Larsen, leitender Bedrohungsanalyst bei GTIG, gibt an, dass UNC6783 typischerweise auf Social Engineering und Phishing-Kampagnen setzt, um BPOs zu kompromittieren. Die Hacker haben auch Support- und Helpdesk-Mitarbeiter in Zielorganisationen kontaktiert, um direkten Zugriff zu erhalten.
Forscher vermuten, dass UNC6783 mit einer Persona namens Raccoon in Verbindung stehen könnte, die zuvor mehrere BPOs ins Visier genommen hat. Bei Social-Engineering-Angriffen per Live-Chat leitet der Bedrohungsakteur Supportmitarbeiter auf gefälschte Okta-Anmeldeseiten auf Domänen weiter, die sich als die des Zielunternehmens ausgeben, und zwar nach dem Muster [.]zendesk-support<##>[.]com.
Larsen weist darauf hin, dass das bei diesen Angriffen verwendete Phishing-Kit den Inhalt der Zwischenablage stehlen kann, wodurch Angreifer den Schutz durch Multi-Faktor-Authentifizierung (MFA) umgehen und ihre Geräte bei der Organisation registrieren können. Google hat Angriffe festgestellt, bei denen UNC6783 gefälschte Sicherheitsupdates bereitgestellt hat, um Malware für den Fernzugriff zu installieren.
Nachdem er sensible Daten erhalten hat, erpresst der Bedrohungsakteur die Opfer, indem er sie über ProtonMail-Adressen mit Zahlungsforderungen kontaktiert. Während GTIG keine weiteren Details zu Raccoon bekannt gab, berichtete International Cyber Digest, dass jemand unter dem Pseudonym „Mr. Raccoon“ die Verantwortung für einen Verstoß bei Adobe übernommen habe, den das Unternehmen noch nicht bestätigt habe.
Herr Raccoon behauptete, auf Adobe-Daten zugegriffen zu haben, indem er ein mit dem Unternehmen verbundenes BPO mit Sitz in Indien kompromittiert habe. Der Angreifer soll einen Remote-Access-Trojaner (RAT) auf dem Computer eines Mitarbeiters eingesetzt und einen Phishing-Angriff auf den Vorgesetzten des Mitarbeiters gerichtet haben.
Der Angreifer behauptete, 13 Millionen Support-Tickets gestohlen zu haben, darunter persönliche Daten, Mitarbeiterunterlagen, HackerOne-Einreichungen und interne Dokumente. In Gesprächen mit BleepingComputer bestätigte der Bedrohungsakteur hinter der CrunchyRoll-Sicherheitsverletzung seine Beteiligung am Adobe-Angriff, lieferte jedoch keine Beweise.
Mandiant von Google hat mehrere Abwehrmaßnahmen gegen UNC6783-Angriffe empfohlen. Zu den Empfehlungen gehören die Bereitstellung von FIDO2-Sicherheitsschlüsseln für MFA, die Überwachung des Live-Chats auf Missbrauch, das Blockieren gefälschter Domänen, die den Zendesk-Mustern entsprechen, und die regelmäßige Überprüfung der MFA-Geräteregistrierungen.
