新型勒索團(tuán)伙通過幫助臺(tái)網(wǎng)絡(luò)釣魚攻擊數(shù)十家高價(jià)值企業(yè)

據(jù)谷歌披露，一個(gè)新型勒索團(tuán)伙已通過網(wǎng)絡(luò)釣魚和幫助臺(tái)社會(huì)工程手段，對(duì)"數(shù)十家高價(jià)值"企業(yè)發(fā)起攻擊。

谷歌威脅情報(bào)小組將這一以經(jīng)濟(jì)利益為驅(qū)動(dòng)的團(tuán)伙追蹤標(biāo)記為UNC6783，首席威脅分析師奧斯汀·拉森在一篇博客文章中指出，該團(tuán)伙可能與"Raccoon"相關(guān)身份存在關(guān)聯(lián)。

"我們已發(fā)現(xiàn)數(shù)十家跨多個(gè)行業(yè)的高價(jià)值企業(yè)遭到攻擊。"拉森寫道。

UNC6783主要將呼叫中心和業(yè)務(wù)流程外包商（BPO）作為攻擊切入口，這些機(jī)構(gòu)通常為更大型企業(yè)提供服務(wù)。這一攻擊方式曾被Scattered Spider和ShinyHunters等黑客組織廣泛采用。一旦攻擊者進(jìn)入BPO的網(wǎng)絡(luò)，便可利用從BPO員工處竊取的合法憑據(jù)，滲透其客戶的IT環(huán)境。

谷歌還觀察到，該團(tuán)伙會(huì)直接將目標(biāo)鎖定在企業(yè)的支持和幫助臺(tái)員工，以此獲取訪問權(quán)限并竊取敏感數(shù)據(jù)。

攻擊者使用定制化網(wǎng)絡(luò)釣魚工具包，通過竊取剪貼板內(nèi)容來繞過多因素認(rèn)證（MFA），并將自己的設(shè)備注冊(cè)到受害者環(huán)境中，從而實(shí)現(xiàn)持續(xù)訪問。

谷歌還發(fā)現(xiàn)，該團(tuán)伙會(huì)偽造安全軟件更新，誘騙受害者下載遠(yuǎn)程訪問惡意軟件。

在成功竊取企業(yè)數(shù)據(jù)后，該團(tuán)伙通過Proton Mail賬戶向受害者發(fā)送勒索信。

當(dāng)被問及成功入侵的案例數(shù)量時(shí)，拉森表示："我們已確認(rèn)此次攻擊活動(dòng)中存在多起成功入侵事件。"

上周，《國(guó)際網(wǎng)絡(luò)摘要》報(bào)道稱，一名自稱"Mr. Raccoon"的攻擊者聲稱已入侵Adobe系統(tǒng)，據(jù)報(bào)道，其通過一家印度BPO公司，先在某員工設(shè)備上部署遠(yuǎn)程訪問工具，再對(duì)該員工的上級(jí)主管實(shí)施網(wǎng)絡(luò)釣魚攻擊，從而成功滲透。

該數(shù)據(jù)竊賊聲稱盜取了1300萬張含有個(gè)人信息的支持工單、15000條員工記錄、所有HackerOne提交內(nèi)容、內(nèi)部文件及其他信息。

截至發(fā)稿，Adobe尚未回應(yīng)置評(píng)請(qǐng)求。

據(jù)惡意軟件監(jiān)測(cè)機(jī)構(gòu)vx-underground分析，Adobe此次數(shù)據(jù)泄露事件似乎屬實(shí)，"所有曾向Adobe提交幫助臺(tái)工單或以任何形式尋求過技術(shù)支持的用戶，均可能受到影響。"

Q&A

Q1：UNC6783是什么團(tuán)伙？主要攻擊方式是什么？

A：UNC6783是谷歌威脅情報(bào)小組追蹤的一個(gè)以經(jīng)濟(jì)利益為驅(qū)動(dòng)的新型勒索團(tuán)伙，可能與"Raccoon"相關(guān)身份存在關(guān)聯(lián)。其主要攻擊方式是通過網(wǎng)絡(luò)釣魚和社會(huì)工程手段，重點(diǎn)攻擊呼叫中心和業(yè)務(wù)流程外包商（BPO），利用偽造的Okta登錄頁(yè)面竊取員工憑據(jù)，繞過多因素認(rèn)證后入侵客戶企業(yè)IT環(huán)境，最終竊取數(shù)據(jù)并發(fā)送勒索信。

Q2：UNC6783如何繞過多因素認(rèn)證（MFA）？

A：UNC6783使用定制化網(wǎng)絡(luò)釣魚工具包，通過竊取受害者設(shè)備的剪貼板內(nèi)容來獲取認(rèn)證信息，從而繞過MFA保護(hù)。此外，攻擊者還會(huì)將自己的設(shè)備注冊(cè)到受害者的賬戶環(huán)境中，以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的持續(xù)訪問權(quán)限。同時(shí)，他們還會(huì)偽裝成安全軟件更新，誘騙員工下載遠(yuǎn)程訪問惡意軟件，進(jìn)一步擴(kuò)大控制范圍。

Q3：Adobe數(shù)據(jù)泄露事件泄露了哪些信息？

A：根據(jù)自稱"Mr. Raccoon"的攻擊者聲稱，此次針對(duì)Adobe的入侵共竊取了約1300萬張含有個(gè)人信息的支持工單、15000條員工記錄、所有HackerOne漏洞提交內(nèi)容以及其他內(nèi)部文件。惡意軟件監(jiān)測(cè)機(jī)構(gòu)vx-underground認(rèn)為此次泄露事件屬實(shí)，所有曾向Adobe提交過幫助臺(tái)工單或請(qǐng)求技術(shù)支持的用戶均可能受到影響。截至目前，Adobe尚未就此事作出回應(yīng)。