新型勒索團伙通過幫助臺網絡釣魚攻擊數十家高價值企業

據谷歌披露，一個新型勒索團伙已通過網絡釣魚和幫助臺社會工程手段，對"數十家高價值"企業發起攻擊。

谷歌威脅情報小組將這一以經濟利益為驅動的團伙追蹤標記為UNC6783，首席威脅分析師奧斯汀·拉森在一篇博客文章中指出，該團伙可能與"Raccoon"相關身份存在關聯。

"我們已發現數十家跨多個行業的高價值企業遭到攻擊。"拉森寫道。

UNC6783主要將呼叫中心和業務流程外包商（BPO）作為攻擊切入口，這些機構通常為更大型企業提供服務。這一攻擊方式曾被Scattered Spider和ShinyHunters等黑客組織廣泛采用。一旦攻擊者進入BPO的網絡，便可利用從BPO員工處竊取的合法憑據，滲透其客戶的IT環境。

谷歌還觀察到，該團伙會直接將目標鎖定在企業的支持和幫助臺員工，以此獲取訪問權限并竊取敏感數據。

攻擊者使用定制化網絡釣魚工具包，通過竊取剪貼板內容來繞過多因素認證（MFA），并將自己的設備注冊到受害者環境中，從而實現持續訪問。

谷歌還發現，該團伙會偽造安全軟件更新，誘騙受害者下載遠程訪問惡意軟件。

在成功竊取企業數據后，該團伙通過Proton Mail賬戶向受害者發送勒索信。

當被問及成功入侵的案例數量時，拉森表示："我們已確認此次攻擊活動中存在多起成功入侵事件。"

上周，《國際網絡摘要》報道稱，一名自稱"Mr. Raccoon"的攻擊者聲稱已入侵Adobe系統，據報道，其通過一家印度BPO公司，先在某員工設備上部署遠程訪問工具，再對該員工的上級主管實施網絡釣魚攻擊，從而成功滲透。

該數據竊賊聲稱盜取了1300萬張含有個人信息的支持工單、15000條員工記錄、所有HackerOne提交內容、內部文件及其他信息。

截至發稿，Adobe尚未回應置評請求。

據惡意軟件監測機構vx-underground分析，Adobe此次數據泄露事件似乎屬實，"所有曾向Adobe提交幫助臺工單或以任何形式尋求過技術支持的用戶，均可能受到影響。"

Q&A

Q1：UNC6783是什么團伙？主要攻擊方式是什么？

A：UNC6783是谷歌威脅情報小組追蹤的一個以經濟利益為驅動的新型勒索團伙，可能與"Raccoon"相關身份存在關聯。其主要攻擊方式是通過網絡釣魚和社會工程手段，重點攻擊呼叫中心和業務流程外包商（BPO），利用偽造的Okta登錄頁面竊取員工憑據，繞過多因素認證后入侵客戶企業IT環境，最終竊取數據并發送勒索信。

Q2：UNC6783如何繞過多因素認證（MFA）？

A：UNC6783使用定制化網絡釣魚工具包，通過竊取受害者設備的剪貼板內容來獲取認證信息，從而繞過MFA保護。此外，攻擊者還會將自己的設備注冊到受害者的賬戶環境中，以實現對目標系統的持續訪問權限。同時，他們還會偽裝成安全軟件更新，誘騙員工下載遠程訪問惡意軟件，進一步擴大控制范圍。

Q3：Adobe數據泄露事件泄露了哪些信息？

A：根據自稱"Mr. Raccoon"的攻擊者聲稱，此次針對Adobe的入侵共竊取了約1300萬張含有個人信息的支持工單、15000條員工記錄、所有HackerOne漏洞提交內容以及其他內部文件。惡意軟件監測機構vx-underground認為此次泄露事件屬實，所有曾向Adobe提交過幫助臺工單或請求技術支持的用戶均可能受到影響。截至目前，Adobe尚未就此事作出回應。