Un autore di minacce tracciato come UNC6783 sta compromettendo i fornitori di business process outsourcing (BPO) per ottenere l’accesso ad aziende di alto valore in più settori. Secondo il Google Threat Intelligence Group (GTIG), decine di entità aziendali sono state prese di mira, con conseguente esfiltrazione di dati sensibili a scopo di estorsione.

Austin Larsen, principale analista delle minacce GTIG, afferma che UNC6783 in genere si basa su campagne di ingegneria sociale e phishing per compromettere i BPO. Gli hacker hanno anche contattato il personale di supporto e di helpdesk all’interno delle organizzazioni prese di mira per ottenere un accesso diretto.

I ricercatori suggeriscono che UNC6783 potrebbe essere collegato a un personaggio noto come Raccoon, che in precedenza ha preso di mira più BPO. Negli attacchi di ingegneria sociale tramite live chat, l’autore della minaccia indirizza i dipendenti dell’assistenza a falsificare le pagine di accesso di Okta su domini che si spacciano per quelli dell’azienda presa di mira, seguendo specificamente il modello [.]zendesk-support<##>[.]com.

You Might Also Like
Spotify e Canva guidano il passaggio dalla creazione di codice alla supervisione dell’intelligenza artificiale
Spotify e Canva guidano il passaggio dalla creazione di codice alla supervisione dell’intelligenza artificiale
Apple aggiunge lo strumento batteria Adaptive Power a iOS 26
Apple aggiunge lo strumento batteria Adaptive Power a iOS 26
ZR è la prima fotocamera Nikon co-branded con RED
ZR è la prima fotocamera Nikon co-branded con RED

Larsen osserva che il kit di phishing utilizzato in questi attacchi può rubare il contenuto degli appunti, consentendo agli aggressori di aggirare la protezione dell’autenticazione a più fattori (MFA) e registrare i propri dispositivi presso l’organizzazione. Google ha notato attacchi in cui UNC6783 ha fornito falsi aggiornamenti di sicurezza per installare malware di accesso remoto.

Dopo aver ottenuto dati sensibili, l’autore della minaccia estorce le vittime, contattandole tramite indirizzi ProtonMail con richieste di pagamento. Sebbene GTIG non abbia fornito ulteriori dettagli su Raccoon, International Cyber ​​Digest ha riferito che qualcuno che utilizza lo pseudonimo “Mr. Raccoon” ha rivendicato la responsabilità di una violazione presso Adobe, cosa che la società deve ancora confermare.

Il signor Raccoon è stato accusato di aver avuto accesso ai dati di Adobe compromettendo un BPO con sede in India associato alla società. L’aggressore avrebbe installato un trojan di accesso remoto (RAT) sul computer di un dipendente e avrebbe preso di mira il suo superiore con un attacco di phishing.

L’aggressore ha affermato di aver rubato 13 milioni di ticket di supporto, che includevano dati personali, record dei dipendenti, invii di HackerOne e documenti interni. Nelle discussioni con BleepingComputer, l’autore della minaccia dietro la violazione di CrunchyRoll ha confermato il proprio coinvolgimento nell’attacco Adobe ma non ha fornito prove.

Mandiant di Google ha raccomandato diverse difese contro gli attacchi UNC6783. Le raccomandazioni includono l’implementazione di chiavi di sicurezza FIDO2 per MFA, il monitoraggio della chat dal vivo per eventuali abusi, il blocco dei domini falsificati che corrispondono ai modelli Zendesk e il controllo regolare delle registrazioni dei dispositivi MFA.

Credito immagine in primo piano