Un acteur malveillant identifié sous le nom d’UNC6783 compromet les fournisseurs d’externalisation des processus métiers (BPO) pour accéder à des entreprises de grande valeur dans plusieurs secteurs. Selon le Google Threat Intelligence Group (GTIG), des dizaines d’entreprises ont été ciblées, entraînant l’exfiltration de données sensibles à des fins d’extorsion.
Austin Larsen, analyste principal des menaces du GTIG, déclare que l’UNC6783 s’appuie généralement sur des campagnes d’ingénierie sociale et de phishing pour compromettre les BPO. Les pirates ont également contacté le personnel d’assistance et d’assistance des organisations ciblées pour obtenir un accès direct.
Les chercheurs suggèrent que UNC6783 pourrait être lié à un personnage connu sous le nom de Raccoon, qui a déjà ciblé plusieurs BPO. Dans les attaques d’ingénierie sociale via le chat en direct, l’auteur de la menace dirige les employés du support vers des pages de connexion Okta usurpées sur des domaines usurpant l’identité de ceux de l’entreprise cible, en suivant spécifiquement le modèle [.]zendesk-support<##>[.]com.
Larsen note que le kit de phishing utilisé dans ces attaques peut voler le contenu du presse-papiers, permettant ainsi aux attaquants de contourner la protection par authentification multifacteur (MFA) et d’enregistrer leurs appareils auprès de l’organisation. Google a remarqué des attaques dans lesquelles UNC6783 fournissait de fausses mises à jour de sécurité pour installer des logiciels malveillants d’accès à distance.
Après avoir obtenu des données sensibles, l’acteur malveillant extorque ses victimes en les contactant via des adresses ProtonMail avec des demandes de paiement. Bien que GTIG n’ait pas fourni de détails supplémentaires sur Raccoon, International Cyber Digest a rapporté qu’une personne utilisant le pseudonyme « M. Raccoon » a revendiqué la responsabilité d’une violation chez Adobe, ce que la société n’a pas encore confirmé.
M. Raccoon aurait accédé aux données d’Adobe en compromettant un BPO basé en Inde et associé à l’entreprise. L’attaquant aurait déployé un cheval de Troie d’accès à distance (RAT) sur l’ordinateur d’un employé et aurait ciblé le responsable de l’employé dans une attaque de phishing.
L’attaquant a affirmé avoir volé 13 millions de tickets d’assistance, qui comprenaient des données personnelles, des dossiers d’employés, des soumissions HackerOne et des documents internes. Lors de discussions avec BleepingComputer, l’acteur menaçant à l’origine de la violation de CrunchyRoll a confirmé son implication dans l’attaque d’Adobe mais n’a fourni aucune preuve.
Mandiant de Google a recommandé plusieurs défenses contre les attaques UNC6783. Les recommandations incluent le déploiement de clés de sécurité FIDO2 pour MFA, la surveillance du chat en direct pour détecter les abus, le blocage des domaines usurpés correspondant aux modèles Zendesk et l’audit régulier des inscriptions d’appareils MFA.
