O grupo de ameaça identificado como UNC6783 está comprometendo provedores de business process outsourcing (BPO) para obter acesso a empresas de alto valor em diferentes setores.
Segundo o Google Threat Intelligence Group, dezenas de organizações corporativas já foram alvo dessa tática, usada para exfiltrar dados sensíveis com fins de extorsão.
Austin Larsen, analista principal de ameaças do GTIG, afirma que o UNC6783 costuma recorrer a engenharia social e campanhas de phishing para comprometer BPOs que prestam serviços às empresas visadas.
Em alguns casos, porém, os criminosos também entraram em contato com equipes de suporte e helpdesk dentro das organizações-alvo, numa tentativa de obter acesso direto.
Os pesquisadores dizem que o UNC6783 pode estar ligado ao Raccoon, uma persona conhecida por mirar diversos BPOs que atendem grandes empresas.
Em ataques de engenharia social realizados por live chat, o grupo orienta funcionários de suporte a acessar páginas falsas de login do Okta hospedadas em domínios que imitam os da empresa-alvo e seguem o padrão <org>[.]zendesk-support<##>[.]com.
Larsen explica que o phishing kit usado nessas campanhas consegue roubar o conteúdo da área de transferência, o que permite burlar a proteção de multi-factor authentication (MFA) e viabiliza o registro do dispositivo do atacante na organização.
O Google também observou ataques em que o UNC6783 distribuiu falsas atualizações de segurança para entregar malware de acesso remoto.
Depois de roubar dados sensíveis, o grupo passa a extorquir as vítimas, entrando em contato por endereços do ProtonMail com exigências de pagamento.
Embora o GTIG não tenha divulgado mais detalhes sobre o Raccoon, o perfil de threat intelligence International Cyber Digest revelou recentemente que alguém usando o alias “Mr.Raccoon” alegou ter invadido a Adobe, algo que a empresa ainda não confirmou.
O invasor afirmou ter obtido acesso aos dados da Adobe após comprometer um BPO baseado na Índia que prestava serviços à companhia.
Em seguida, teria instalado um remote access trojan (RAT) no computador de um funcionário e, depois, mirado o gerente desse colaborador em um ataque de phishing.
Mr.Raccoon disse ainda ter roubado 13 milhões de tickets de suporte contendo dados pessoais, registros de funcionários, envios ao HackerOne e documentos internos.
Em conversas, o autor do ataque contra a CrunchyRoll confirmou que também esteve por trás do ataque à Adobe, mas não apresentou nenhuma prova.
A Mandiant, do Google, listou diversas recomendações de defesa contra ataques do UNC6783, entre elas o uso de chaves de segurança FIDO2 para MFA, o monitoramento de abusos em live chat, o bloqueio de domínios falsos que imitam padrões do Zendesk e a auditoria frequente dos cadastros de dispositivos de MFA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...