Un acteur malveillant identifié sous le nom de UNC6783 cible des prestataires de services d’externalisation des processus métiers (BPO) afin d’accéder à des entreprises de premier plan dans divers secteurs. Selon les analyses du Google Threat Intelligence Group, des dizaines d’entités corporatives ont été visées par cette méthode pour exfiltrer des données sensibles dans un but d’extorsion.
Austin Larsen, analyste principal des menaces au sein du GTIG, rapporte que UNC6783 utilise souvent des techniques de phishing et d’ingénierie sociale ciblant les BPO associés aux entreprises visées. Les attaquants n’hésitent pas à entrer en contact avec le personnel de support et d’assistance des organisations ciblées pour obtenir un accès direct.
Les recherches indiquent que ce groupe pourrait être lié à Raccoon, un acteur connu pour avoir attaqué plusieurs BPO fournissant des services à de grandes entreprises. Dans des attaques d’ingénierie sociale menées via des échanges en direct, l’acteur malveillant dirige les employés de soutien vers des pages de connexion Okta falsifiées, hébergées sur des domaines imitant ceux de la société cible, avec une structure de type [.]zendesk-support<##>[.]com.
Selon Larsen, le kit de phishing utilisé dans ces attaques peut siphonner le contenu du presse-papiers pour contourner la protection de l’authentification multifactorielle (MFA), permettant à l’assaillant d’enregistrer leur appareil au sein de l’organisation.
Google a également noté des tentatives d’attaques où UNC6783 a distribué de fausses mises à jour de sécurité pour intégrer des malwares d’accès à distance.
Une fois les données sensibles volées, les attaquants tentent d’extorquer leurs victimes, les contactant via des adresses ProtonMail avec des demandes de paiement.
Bien que le GTIG n’ait pas divulgué davantage de détails sur Raccoon, le International Cyber Digest a récemment rapporté qu’un individu utilisant le pseudonyme “Mr. Raccoon” aurait revendiqué une violation chez Adobe, information que l’entreprise peine à confirmer. L’attaquant prétend avoir accédé aux données d’Adobe après avoir compromis un BPO basé en Inde collaborant avec la société, déployant un cheval de Troie d’accès à distance sur l’ordinateur d’un employé avant de cibler ce dernier lors d’une attaque de phishing.
Mr. Raccoon affirmait avoir dérobé 13 millions de tickets de support contenant des données personnelles, des dossiers d’employés, des soumissions HackerOne et des documents internes.
Dans des échanges avec BleepingComputer, l’acteur derrière la violation de CrunchyRoll a confirmé sa responsabilité dans l’incident touchant Adobe, sans fournir de preuve tangible.
Les recommandations de défense proposées par Mandiant de Google contre les attaques de UNC6783 comprennent le déploiement de clés de sécurité FIDO2 pour la MFA, la surveillance des conversations en direct pour détecter les abus, le blocage des domaines falsifiés correspondant aux modèles Zendesk, et l’audit régulier des enregistrements d’appareils MFA.