UNC6783 として追跡されている脅威アクターは、ビジネス プロセス アウトソーシング (BPO) プロバイダーを侵害し、複数のセクターにわたる高価値企業へのアクセスを獲得しています。 Google Threat Intelligence Group (GTIG) によると、数十の企業が標的にされ、その結果、恐喝目的で機密データが流出しています。
GTIG の主任脅威アナリストであるオースティン ラーセン氏は、UNC6783 は通常、ソーシャル エンジニアリングとフィッシング キャンペーンに依存して BPO を侵害すると述べています。ハッカーは、直接アクセスするために、標的となった組織内のサポートおよびヘルプデスクのスタッフにも連絡を取りました。
研究者らは、UNC6783 が以前に複数の BPO を標的にしてきたラクーンとして知られる人物に関連している可能性があると示唆しています。ライブ チャットを介したソーシャル エンジニアリング攻撃では、攻撃者はサポート従業員を、ターゲット企業のドメインになりすましたドメイン上の Okta ログイン ページに誘導し、特に [.]zendesk-support<##>[.]com のパターンに従います。
ラーセン氏は、これらの攻撃に使用されるフィッシング キットはクリップボードの内容を盗み、攻撃者が多要素認証 (MFA) 保護をバイパスしてデバイスを組織に登録できるようにすると指摘しています。 Google は、UNC6783 が偽のセキュリティ アップデートを配信してリモート アクセス マルウェアをインストールする攻撃を指摘しています。
機密データを入手した後、脅威アクターは被害者を恐喝し、ProtonMail アドレス経由で被害者に連絡して支払いを要求します。 GTIGはRaccoonに関する追加の詳細を明らかにしなかったが、International Cyber Digestは、「Mr. Raccoon」という別名を使用する何者かがAdobe社の情報漏えいの犯行声明を出したと報じたが、同社はまだそれを確認していない。
アライグマ氏は、インドに拠点を置く同社と関連のある BPO を侵害して、Adobe データにアクセスしたと主張した。攻撃者は従業員のコンピュータにリモート アクセス トロイの木馬 (RAT) を展開し、その従業員の上司をフィッシング攻撃の標的にしたとされています。
攻撃者は、個人データ、従業員の記録、HackerOne の提出物、内部文書を含む 1,300 万枚のサポート チケットを盗んだと主張しました。 BleepingComputer との話し合いの中で、CrunchyRoll 侵害の背後にいる攻撃者は、Adobe 攻撃への関与を認めましたが、証拠は提供しませんでした。
Google の Mandiant は、UNC6783 攻撃に対するいくつかの防御策を推奨しています。推奨事項には、MFA 用の FIDO2 セキュリティ キーの導入、ライブ チャットの悪用の監視、Zendesk パターンに一致するなりすましドメインのブロック、MFA デバイスの登録の定期的な監査などが含まれます。
