「几十家高价值企业」——这是谷歌威胁情报团队给出的最新统计数字。不是小作坊,不是创业公司,是真正意义上的巨头猎物。
攻击者UNC6783的操作手法,像极了把客服中心当成特洛伊木马塞进城墙。他们不打正面,专挑给大厂做外包的呼叫中心(BPO)下手。这些外包商的IT防护和甲方差着几个量级,但手里握的凭证却能直通核心系统。
钓鱼链:从外包员工到甲方高管
谷歌首席威胁分析师Austin Larsen在博客中拆解了完整路径。第一步,社工入侵BPO网络;第二步,偷取外包员工的合法凭证;第三步,用这些钥匙打开甲方客户的IT大门。
这套「借道外包」的模式,Scattered Spider和ShinyHunters早就玩熟了。UNC6783不是发明者,是继承者。
更直接的打法也有。攻击者会伪装成Zendesk客服,用实时聊天把目标企业的内部支持人员引向伪造的Okta登录页。域名长得极具欺骗性:「公司名.zendesk-support数字.com」——粗看就是官方支持入口。
钓鱼工具包专门对付多因素认证(MFA)。不是暴力破解,是偷剪贴板内容,然后把自己的设备注册成可信终端。一旦完成,持久访问到手,MFA形同虚设。
还有一手假更新。推送伪造的安全软件补丁,实际塞进去的是远程访问木马。员工以为是例行维护,实则是给攻击者开了后门。
勒索信的投递方式有点复古
数据到手后,UNC6783用Proton Mail发勒索通知。这个选择本身就有意思——端到端加密邮箱,瑞士司法管辖,追查链条在这里断掉一截。
谷歌没有回应The Register关于受害者名单和赎金规模的询问。但「several dozen high-value」这个定语,已经划定了事件量级。
这里需要提一个尚未完全确认的关联。Larsen在博客中写道,UNC6783「可能与'Raccoon'身份有关」。而就在上周,International Cyber Digest报道称Adobe遭一名自称「Mr. Raccoon」的攻击者入侵。
那起事件的路径与谷歌描述高度吻合:印度BPO作为跳板,先给一名员工植入远程工具,再钓鱼其上级经理。攻击者声称窃取了1300万张含个人数据的支持工单、1.5万份员工记录、全部HackerOne漏洞提交记录及内部文档。
Adobe至今未回应置评请求。但恶意软件追踪组织vx-underground评估认为泄露「看起来是合法的」,并警告「任何向Adobe提交过支持工单或请求过协助的人,都可能受到影响」。
外包链条的安全悖论
这个案例戳中了一个结构性困境。企业把客服、IT支持外包出去,成本降了,攻击面却大了。BPO员工每天处理的是真实客户问题,天然容易信任「来自Zendesk的链接」或「安全更新提醒」。
攻击者赌的就是这个信任惯性。他们不是骗系统,是骗人——而人,永远是外包环节里最薄弱的接口。
伪造Okta页面的手法尤其值得警惕。身份认证厂商成了钓鱼的招牌,这本身就构成一种品牌劫持。员工看到熟悉的登录框,警觉性会下意识降低。
剪贴板窃取+设备注册的组合技,则绕过了MFA设计中最核心的「你拥有的东西」这一要素。攻击者不需要偷你的手机,只需要在你没注意的时候,把自己的设备变成「你拥有的东西」。
谷歌对UNC6783的追踪还在持续。威胁情报团队选择此时公开,通常意味着攻击规模已经大到无法静默处理,或者关键基础设施面临迫在眉睫的风险。
Proton Mail的勒索信、伪造的Zendesk域名、印度的BPO跳板——这些碎片拼凑出的,是一幅高度产业化、分工明确的勒索图景。攻击者不再单兵作战,而是像供应链一样层层外包:有人专门做初始入侵,有人负责权限维持,有人处理数据变现。
Adobe事件如果最终确认与UNC6783有关,将是一个标志性案例。1300万张支持工单,意味着1300万个真实用户的姓名、邮箱、问题描述,可能还包括部分支付信息。这些数据在地下市场的价值,远超一次性的赎金。
企业安全团队现在需要回答的问题是:你的外包商上一次做钓鱼演练是什么时候?他们的员工能否分辨「zendesk-support12.com」和真正的Zendesk域名?当「安全更新」弹窗出现时,有没有二次确认的流程?
这些问题没有标准答案。但谷歌的几十家受害者名单说明,答错的企业,代价正在变得难以承受。
热门跟贴