谷歌旗下的Mandiant公司周五表示,发现了一种"威胁活动扩张"现象,其使用的攻击手法与名为ShinyHunters的经济驱动型黑客组织所策划的勒索主题攻击相一致。
这些攻击利用高级语音钓鱼(vishing)技术和伪装成目标公司的虚假凭证窃取网站,通过收集单点登录(SSO)凭证和多因素身份验证(MFA)代码来获取对受害者环境的未授权访问。
攻击的最终目标是针对基于云的软件即服务(SaaS)应用程序,窃取敏感数据和内部通信内容,并对受害者实施勒索。
这家科技巨头的威胁情报团队表示,他们正在多个集群下跟踪这些活动,包括UNC6661、UNC6671和UNC6240(又名ShinyHunters),以考虑到这些组织可能正在演变其作案手法或模仿之前观察到的战术。
Mandiant指出:"虽然这种针对身份提供商和SaaS平台的方法与我们之前观察到的ShinyHunters品牌勒索活动前的威胁活动一致,但随着这些威胁行为者寻求更多敏感数据进行勒索,目标云平台的范围继续扩大。此外,他们似乎在最近的事件中升级了勒索策略,包括骚扰受害者人员等手段。"
语音钓鱼和凭证窃取活动的详细情况
UNC6661被观察到在致电目标受害组织的员工时假扮IT人员,以指导他们更新多因素身份验证(MFA)设置为幌子,引导他们访问凭证窃取链接。该活动记录于2026年1月初至中旬期间。
窃取的凭证随后被用于注册攻击者自己的MFA设备,然后在网络中横向移动,从SaaS平台窃取数据。至少在一个案例中,威胁行为者利用其对受损电子邮件账户的访问权限,向加密货币相关公司的联系人发送更多钓鱼邮件。这些邮件随后被删除以掩盖痕迹。之后由UNC6240实施勒索活动。
UNC6671也被发现冒充IT人员欺骗受害者,自2026年1月初以来,在受害者品牌的凭证窃取网站上获取他们的凭证和MFA身份验证代码。至少在某些情况下,威胁行为者获得了Okta客户账户的访问权限。UNC6671还利用PowerShell从SharePoint和OneDrive下载敏感数据。
UNC6661和UNC6671之间的差异涉及注册凭证窃取域名时使用不同的域名注册商(UNC6661使用NICENIC,UNC6671使用Tucows),以及UNC6671活动后发送的勒索邮件与已知的UNC6240指标不重叠。
这表明可能涉及不同的人员群体,说明了这些网络犯罪组织的无定形性质。此外,针对加密货币公司的攻击表明,威胁行为者可能还在探索进一步的经济获利途径。
为应对SaaS平台面临的威胁,谷歌列出了一长串加固、日志记录和检测建议:
改进服务台流程,包括要求人员通过实时视频通话验证身份
限制对可信出口点和物理位置的访问;强制使用强密码;并移除短信、电话和电子邮件作为身份验证方法
限制管理平面访问,审计暴露的密钥并强制执行设备访问控制
实施日志记录以提高对身份操作、授权和SaaS导出行为的可见性
检测MFA设备注册和MFA生命周期变化;寻找表明使用ToogleBox Email Recall等工具进行邮箱操纵活动的OAuth/应用授权事件,或在正常工作时间之外发生的身份事件
谷歌表示:"这项活动不是供应商产品或基础设施中安全漏洞的结果。相反,它继续凸显社会工程的有效性,并强调组织在可能的情况下转向抗钓鱼MFA的重要性。FIDO2安全密钥或通行密钥等方法在抵御社会工程方面的效果远优于基于推送或短信验证的方法。"
Q&A
Q1:ShinyHunters式语音钓鱼攻击是如何窃取用户凭证的?
A:攻击者假扮成IT人员致电目标组织员工,以更新多因素身份验证设置为借口,引导员工访问伪装成目标公司的虚假凭证窃取网站,从而收集单点登录凭证和MFA验证代码。窃取凭证后,攻击者会注册自己的MFA设备,在网络中横向移动窃取SaaS平台的敏感数据。
Q2:企业如何防范针对SaaS平台的语音钓鱼攻击?
A:谷歌建议企业采取多项措施:改进服务台流程,要求通过实时视频通话验证身份;限制访问权限并强制使用强密码;移除短信、电话等易受攻击的身份验证方法;实施全面的日志记录;最重要的是采用抗钓鱼的MFA方法,如FIDO2安全密钥或通行密钥,这些方法能有效抵御社会工程攻击。
Q3:UNC6661和UNC6671这两个威胁组织有什么区别?
A:这两个组织的攻击手法相似,都假冒IT人员进行语音钓鱼,但存在一些差异:UNC6661使用NICENIC注册凭证窃取域名,而UNC6671使用Tucows;UNC6671活动后的勒索邮件与已知ShinyHunters指标不重叠。这些差异表明可能涉及不同的人员群体,反映了网络犯罪组织的多样化特征。
热门跟贴