Un actor de amenazas rastreado como UNC6783 está comprometiendo a los proveedores de subcontratación de procesos comerciales (BPO) para obtener acceso a empresas de alto valor en múltiples sectores. Según Google Threat Intelligence Group (GTIG), decenas de entidades corporativas han sido atacadas, lo que ha resultado en la exfiltración de datos confidenciales para extorsión.
Austin Larsen, analista principal de amenazas de GTIG, afirma que UNC6783 normalmente se basa en ingeniería social y campañas de phishing para comprometer los BPO. Los piratas informáticos también se han puesto en contacto con el personal de soporte y asistencia técnica de las organizaciones objetivo para obtener acceso directo.
Los investigadores sugieren que UNC6783 puede estar vinculado a una persona conocida como Raccoon, que anteriormente se había dirigido a múltiples BPO. En los ataques de ingeniería social a través de chat en vivo, el actor de amenazas dirige a los empleados de soporte a páginas de inicio de sesión de Okta falsificadas en dominios que se hacen pasar por los de la empresa objetivo, siguiendo específicamente el patrón [.]zendesk-support<##>[.]com.
Larsen señala que el kit de phishing utilizado en estos ataques puede robar el contenido del portapapeles, lo que permite a los atacantes eludir la protección de autenticación multifactor (MFA) y registrar sus dispositivos en la organización. Google ha notado ataques en los que UNC6783 entregó actualizaciones de seguridad falsas para instalar malware de acceso remoto.
Después de obtener datos confidenciales, el actor de amenazas extorsiona a las víctimas, contactándolas a través de direcciones de ProtonMail con demandas de pago. Si bien GTIG no proporcionó detalles adicionales sobre Raccoon, International Cyber Digest informó que alguien que usaba el alias “Mr. Raccoon” se atribuyó la responsabilidad de una infracción en Adobe, que la compañía aún no ha confirmado.
Raccoon alegó haber accedido a datos de Adobe comprometiendo un BPO con sede en India asociado con la empresa. Supuestamente, el atacante implementó un troyano de acceso remoto (RAT) en la computadora de un empleado y apuntó al gerente del empleado en un ataque de phishing.
El atacante afirmó haber robado 13 millones de tickets de soporte, que incluían datos personales, registros de empleados, envíos de HackerOne y documentos internos. En conversaciones con BleepingComputer, el actor de amenazas detrás de la violación de CrunchyRoll confirmó su participación en el ataque a Adobe, pero no proporcionó pruebas.
Mandiant de Google ha recomendado varias defensas contra los ataques UNC6783. Las recomendaciones incluyen implementar claves de seguridad FIDO2 para MFA, monitorear el chat en vivo para detectar abusos, bloquear dominios falsificados que coincidan con los patrones de Zendesk y auditar periódicamente las inscripciones de dispositivos MFA.
