軟體大廠Adobe近日傳出資料外洩,自稱是Mr. Raccoon駭客疑似從該公司印度業務流程外包商(BPO)著手,在其中一名員工的電腦植入遠端存取工具啟動攻擊流程,從而竊得Adobe內部機敏資料。如今類似的攻擊行動再度傳出,上述事故很有可能是供應鏈攻擊的一部分。
Google威脅情報團隊(GTIG)主要威脅分析師Austin Larsen於社群網站LinkedIn指出,他們近期追蹤名為UNC6783的駭客團體,該組人馬犯案的動機是為了經濟利益,正在進行針對性的社交工程與網釣活動,GTIG已掌握有多個產業、數十家高價值企業組織成為目標。值得留意的是,Google提及UNC6783很可能與稱為Raccoon的人士有關。
UNC6783攻擊對象主要是遭駭客鎖定的企業的業務流程外包商,GTIG也看到駭客對目標企業的客服下手的情況,不過,最終目的都是取得存取權限,然後竊取敏感資料並向受害企業勒索。
駭客依賴即時通訊軟體作為社交工程的媒介,誘騙受害企業的員工存取偽造的Okta登入網頁。他們使用的網域名稱通常會冒充受害企業,其結構通常是<組織名稱>[.]zendesk-support<##>[.]com。GTIG提到,UNC6783的網釣工具能竊取受害電腦的剪貼簿內容,從而繞過多因素驗證(MFA)流程,並讓駭客註冊自己的裝置,以便建立持續存取的管道。
一旦成功竊得資料並外流,UNC6783就會使用Proton Mail帳號,向受害企業寄送勒索信。此外,GTIG也看到駭客假借資安軟體更新的名義,誘騙使用者下載惡意軟體的情況。
