据谷歌披露,一个新型勒索团伙已通过网络钓鱼和帮助台社会工程手段,对"数十家高价值"企业发起攻击。
谷歌威胁情报小组将这一以经济利益为驱动的团伙追踪标记为UNC6783,首席威胁分析师奥斯汀·拉森在一篇博客文章中指出,该团伙可能与"Raccoon"相关身份存在关联。
"我们已发现数十家跨多个行业的高价值企业遭到攻击。"拉森写道。
UNC6783主要将呼叫中心和业务流程外包商(BPO)作为攻击切入口,这些机构通常为更大型企业提供服务。这一攻击方式曾被Scattered Spider和ShinyHunters等黑客组织广泛采用。一旦攻击者进入BPO的网络,便可利用从BPO员工处窃取的合法凭据,渗透其客户的IT环境。
谷歌还观察到,该团伙会直接将目标锁定在企业的支持和帮助台员工,以此获取访问权限并窃取敏感数据。
攻击者使用定制化网络钓鱼工具包,通过窃取剪贴板内容来绕过多因素认证(MFA),并将自己的设备注册到受害者环境中,从而实现持续访问。
谷歌还发现,该团伙会伪造安全软件更新,诱骗受害者下载远程访问恶意软件。
在成功窃取企业数据后,该团伙通过Proton Mail账户向受害者发送勒索信。
当被问及成功入侵的案例数量时,拉森表示:"我们已确认此次攻击活动中存在多起成功入侵事件。"
上周,《国际网络摘要》报道称,一名自称"Mr. Raccoon"的攻击者声称已入侵Adobe系统,据报道,其通过一家印度BPO公司,先在某员工设备上部署远程访问工具,再对该员工的上级主管实施网络钓鱼攻击,从而成功渗透。
该数据窃贼声称盗取了1300万张含有个人信息的支持工单、15000条员工记录、所有HackerOne提交内容、内部文件及其他信息。
截至发稿,Adobe尚未回应置评请求。
据恶意软件监测机构vx-underground分析,Adobe此次数据泄露事件似乎属实,"所有曾向Adobe提交帮助台工单或以任何形式寻求过技术支持的用户,均可能受到影响。"
Q&A
Q1:UNC6783是什么团伙?主要攻击方式是什么?
A:UNC6783是谷歌威胁情报小组追踪的一个以经济利益为驱动的新型勒索团伙,可能与"Raccoon"相关身份存在关联。其主要攻击方式是通过网络钓鱼和社会工程手段,重点攻击呼叫中心和业务流程外包商(BPO),利用伪造的Okta登录页面窃取员工凭据,绕过多因素认证后入侵客户企业IT环境,最终窃取数据并发送勒索信。
Q2:UNC6783如何绕过多因素认证(MFA)?
A:UNC6783使用定制化网络钓鱼工具包,通过窃取受害者设备的剪贴板内容来获取认证信息,从而绕过MFA保护。此外,攻击者还会将自己的设备注册到受害者的账户环境中,以实现对目标系统的持续访问权限。同时,他们还会伪装成安全软件更新,诱骗员工下载远程访问恶意软件,进一步扩大控制范围。
Q3:Adobe数据泄露事件泄露了哪些信息?
A:根据自称"Mr. Raccoon"的攻击者声称,此次针对Adobe的入侵共窃取了约1300万张含有个人信息的支持工单、15000条员工记录、所有HackerOne漏洞提交内容以及其他内部文件。恶意软件监测机构vx-underground认为此次泄露事件属实,所有曾向Adobe提交过帮助台工单或请求技术支持的用户均可能受到影响。截至目前,Adobe尚未就此事作出回应。
热门跟贴