谷歌威胁情报小组(GTIG)近日披露,一个代号为“UNC6783”的黑客组织正频繁通过外包服务商作为跳板,非法获取多家大型企业的高度敏感数据。该组织利用这些数据对受害企业进行勒索,目前已有数十家企业中招。
GTIG首席威胁分析师Austin Larsen指出,UNC6783主要通过社交工程学和网络钓鱼手段渗透业务流程外包(BPO)供应商。一旦进入外包商系统,黑客便能顺藤摸瓜,直接访问其服务的大型企业客户。
针对客服系统的钓鱼攻击
除了常规的系统渗透,该黑客组织还直接瞄准了目标企业的客服人员。在实时聊天互动中,攻击者会诱导客服人员访问伪造的Okta登录页面。这些钓鱼页面模仿目标企业的域名,通常采用“[.]zendesk-support[.]com”的命名模式。
Larsen表示,这些钓鱼工具包具备窃取剪贴板内容的能力,能够绕过多因素认证(MFA),让攻击者成功将自己的设备注册为受信任终端。此外,该组织还曾利用虚假的安全更新推送远程访问木马(RAT)。
该组织被认为与代号“Raccoon”的黑客有关联。此前曾有消息称,Raccoon通过入侵一家印度外包商,成功获取了Adobe的内部数据。攻击者声称窃取了1300万份支持工单,其中包括员工记录、内部文档以及HackerOne提交的漏洞报告。虽然Adobe尚未对此证实,但该黑客在与其他网络安全事件的关联分析中表现活跃。
在完成数据窃取后,UNC6783会通过ProtonMail加密邮箱与受害者取得联系,提出勒索要求。
针对此类威胁,谷歌Mandiant发布了防御建议。企业应部署FIDO2安全密钥以加固MFA,加强对实时聊天渠道的监控,并定期审核MFA设备的注册情况。同时,安全团队应密切关注并屏蔽模仿Zendesk模式的伪造域名,以阻断攻击者的钓鱼路径。
