Een bedreigingsacteur die wordt gevolgd als UNC6783 compromitteert leveranciers van business process outsourcing (BPO) om toegang te krijgen tot hoogwaardige bedrijven in meerdere sectoren. Volgens de Google Threat Intelligence Group (GTIG) zijn tientallen bedrijfsentiteiten het doelwit geweest, wat heeft geleid tot de exfiltratie van gevoelige gegevens met het oog op afpersing.
Austin Larsen, hoofdbedreigingsanalist van GTIG, stelt dat UNC6783 doorgaans afhankelijk is van social engineering- en phishing-campagnes om BPO’s in gevaar te brengen. De hackers hebben ook contact opgenomen met ondersteunings- en helpdeskpersoneel binnen de beoogde organisaties om directe toegang te krijgen.
Onderzoekers suggereren dat UNC6783 mogelijk verband houdt met een persona die bekend staat als Raccoon en die zich eerder op meerdere BPO’s heeft gericht. Bij social engineering-aanvallen via live chat stuurt de bedreigingsacteur ondersteuningsmedewerkers naar vervalste Okta-inlogpagina’s op domeinen die zich voordoen als die van het doelbedrijf, waarbij ze specifiek het patroon [.]zendesk-support<##>[.]com volgen.
Larsen merkt op dat de phishing-kit die bij deze aanvallen wordt gebruikt, de inhoud van het klembord kan stelen, waardoor aanvallers de bescherming tegen multi-factor authenticatie (MFA) kunnen omzeilen en hun apparaten bij de organisatie kunnen registreren. Google heeft aanvallen opgemerkt waarbij UNC6783 valse beveiligingsupdates leverde om malware voor externe toegang te installeren.
Na het verkrijgen van gevoelige gegevens, dwingt de bedreigingsacteur slachtoffers af en neemt via ProtonMail-adressen contact met hen op met betalingsverzoeken. Hoewel GTIG geen aanvullende details over Raccoon heeft verstrekt, meldde International Cyber Digest dat iemand die de alias “Mr. Raccoon” gebruikte de verantwoordelijkheid opeiste voor een inbreuk bij Adobe, wat het bedrijf nog moet bevestigen.
De heer Raccoon beweerde toegang te hebben gekregen tot Adobe-gegevens door een in India gevestigde BPO die aan het bedrijf was gekoppeld, te compromitteren. De aanvaller zou een trojan voor externe toegang (RAT) hebben ingezet op de computer van een medewerker en zich met een phishing-aanval op de manager van de medewerker hebben gericht.
De aanvaller beweerde 13 miljoen supporttickets te hebben gestolen, waaronder persoonlijke gegevens, werknemersgegevens, HackerOne-inzendingen en interne documenten. In gesprekken met BleepingComputer bevestigde de dreigingsactoren achter de CrunchyRoll-inbreuk hun betrokkenheid bij de Adobe-aanval, maar leverde geen bewijs.
Mandiant van Google heeft verschillende verdedigingsmiddelen tegen UNC6783-aanvallen aanbevolen. Aanbevelingen zijn onder meer het inzetten van FIDO2-beveiligingssleutels voor MFA, het monitoren van livechat op misbruik, het blokkeren van vervalste domeinen die overeenkomen met Zendesk-patronen, en het regelmatig controleren van MFA-apparaatinschrijvingen.
