UNC6783으로 추적된 위협 행위자는 비즈니스 프로세스 아웃소싱(BPO) 제공업체를 침해하여 여러 부문에 걸쳐 고부가가치 기업에 접근하고 있습니다. Google 위협 인텔리전스 그룹(GTIG)에 따르면 수십 개의 기업체가 표적이 되어 민감한 데이터가 유출되어 강탈당했습니다.
GTIG의 주요 위협 분석가인 Austin Larsen은 UNC6783이 일반적으로 BPO를 손상시키기 위해 사회 공학 및 피싱 캠페인에 의존한다고 말합니다. 또한 해커는 직접 접근 권한을 얻기 위해 대상 조직 내의 지원 및 헬프데스크 직원에게 연락했습니다.
연구원들은 UNC6783이 이전에 여러 BPO를 표적으로 삼았던 Raccoon이라는 페르소나와 연결될 수 있다고 제안합니다. 라이브 채팅을 통한 사회 공학 공격에서 위협 행위자는 특히 [.]zendesk-support<##>[.]com 패턴을 따라 대상 회사의 도메인을 사칭하는 도메인의 스푸핑된 Okta 로그인 페이지로 지원 직원을 지시합니다.
Larsen은 이러한 공격에 사용되는 피싱 키트가 클립보드 콘텐츠를 훔칠 수 있어 공격자가 MFA(다단계 인증) 보호를 우회하고 해당 장치를 조직에 등록할 수 있다고 지적합니다. Google은 UNC6783이 원격 액세스 악성 코드를 설치하기 위해 가짜 보안 업데이트를 제공하는 공격에 대해 언급했습니다.
민감한 데이터를 획득한 후 위협 행위자는 피해자에게 ProtonMail 주소를 통해 연락하여 지불을 요구합니다. GTIG는 Raccoon에 대한 추가 세부 정보를 제공하지 않았지만 International Cyber Digest는 “Mr. Raccoon”이라는 별칭을 사용하는 누군가가 Adobe에서 발생한 위반에 대한 책임을 주장했다고 보고했지만 회사는 아직 이를 확인하지 않았습니다.
Raccoon 씨는 회사와 관련된 인도 기반 BPO를 손상시켜 Adobe 데이터에 액세스했다고 주장했습니다. 공격자는 직원의 컴퓨터에 RAT(원격 액세스 트로이 목마)를 배포하고 피싱 공격의 대상이 되는 직원의 관리자인 것으로 알려졌습니다.
공격자는 개인 데이터, 직원 기록, HackerOne 제출물 및 내부 문서를 포함하여 1,300만 개의 지원 티켓을 훔쳤다고 주장했습니다. CrunchyRoll 침해 사건의 배후에 있는 위협 행위자는 BleepingComputer와의 논의에서 자신들이 Adobe 공격에 관여했음을 확인했지만 증거를 제공하지는 않았습니다.
Google의 Mandiant는 UNC6783 공격에 대한 몇 가지 방어책을 권장했습니다. 권장 사항에는 MFA용 FIDO2 보안 키 배포, 실시간 채팅 남용 모니터링, Zendesk 패턴과 일치하는 스푸핑된 도메인 차단, 정기적으로 MFA 장치 등록 감사가 포함됩니다.
<시간 />
