Um ator de ameaça identificado como UNC6783 está comprometendo provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em vários setores. De acordo com o Google Threat Intelligence Group (GTIG), dezenas de entidades corporativas foram alvo, resultando na exfiltração de dados confidenciais para extorsão.
Austin Larsen, principal analista de ameaças do GTIG, afirma que o UNC6783 normalmente depende de engenharia social e campanhas de phishing para comprometer BPOs. Os hackers também contataram a equipe de suporte e helpdesk das organizações visadas para obter acesso direto.
Os pesquisadores sugerem que UNC6783 pode estar ligado a uma persona conhecida como Raccoon, que anteriormente tinha como alvo vários BPOs. Em ataques de engenharia social via chat ao vivo, o agente da ameaça direciona os funcionários de suporte para páginas de login falsificadas do Okta em domínios que se fazem passar pelos da empresa alvo, seguindo especificamente o padrão [.]zendesk-support<##>[.]com.
Larsen observa que o kit de phishing usado nesses ataques pode roubar o conteúdo da área de transferência, permitindo que os invasores contornem a proteção da autenticação multifator (MFA) e registrem seus dispositivos na organização. O Google notou ataques em que o UNC6783 entregou atualizações de segurança falsas para instalar malware de acesso remoto.
Depois de obter dados confidenciais, o agente da ameaça extorque as vítimas, contactando-as através de endereços ProtonMail com exigências de pagamento. Embora o GTIG não tenha fornecido detalhes adicionais sobre o Raccoon, a International Cyber Digest informou que alguém usando o pseudônimo “Sr. Raccoon” assumiu a responsabilidade por uma violação na Adobe, que a empresa ainda não confirmou.
Raccoon alegou ter acessado dados da Adobe comprometendo um BPO baseado na Índia associado à empresa. O invasor supostamente implantou um trojan de acesso remoto (RAT) no computador de um funcionário e atacou o gerente do funcionário em um ataque de phishing.
O invasor alegou ter roubado 13 milhões de tickets de suporte, que incluíam dados pessoais, registros de funcionários, envios do HackerOne e documentos internos. Em discussões com o BleepingComputer, o autor da ameaça por trás da violação do CrunchyRoll confirmou seu envolvimento no ataque da Adobe, mas não forneceu evidências.
O Mandiant do Google recomendou várias defesas contra ataques UNC6783. As recomendações incluem a implantação de chaves de segurança FIDO2 para MFA, monitoramento de chat ao vivo em busca de abuso, bloqueio de domínios falsificados que correspondam aos padrões do Zendesk e auditoria regular de registros de dispositivos MFA.
