新型勒索团伙通过帮助台网络钓鱼攻击数十家高价值企业

据谷歌披露，一个新型勒索团伙已通过网络钓鱼和帮助台社会工程手段，对"数十家高价值"企业发起攻击。

谷歌威胁情报小组将这一以经济利益为驱动的团伙追踪标记为UNC6783，首席威胁分析师奥斯汀·拉森在一篇博客文章中指出，该团伙可能与"Raccoon"相关身份存在关联。

"我们已发现数十家跨多个行业的高价值企业遭到攻击。"拉森写道。

UNC6783主要将呼叫中心和业务流程外包商（BPO）作为攻击切入口，这些机构通常为更大型企业提供服务。这一攻击方式曾被Scattered Spider和ShinyHunters等黑客组织广泛采用。一旦攻击者进入BPO的网络，便可利用从BPO员工处窃取的合法凭据，渗透其客户的IT环境。

谷歌还观察到，该团伙会直接将目标锁定在企业的支持和帮助台员工，以此获取访问权限并窃取敏感数据。

"此次攻击活动依托实时聊天进行社会工程操控，诱导员工访问仿冒Okta登录页面的恶意网站。"拉森表示，"这些域名常伪装成目标机构，采用类似'<机构名>[.]zendesk-support<编号>[.]com'的域名格式。"

攻击者使用定制化网络钓鱼工具包，通过窃取剪贴板内容来绕过多因素认证（MFA），并将自己的设备注册到受害者环境中，从而实现持续访问。

谷歌还发现，该团伙会伪造安全软件更新，诱骗受害者下载远程访问恶意软件。

在成功窃取企业数据后，该团伙通过Proton Mail账户向受害者发送勒索信。

当被问及成功入侵的案例数量时，拉森表示："我们已确认此次攻击活动中存在多起成功入侵事件。"

上周，《国际网络摘要》报道称，一名自称"Mr. Raccoon"的攻击者声称已入侵Adobe系统，据报道，其通过一家印度BPO公司，先在某员工设备上部署远程访问工具，再对该员工的上级主管实施网络钓鱼攻击，从而成功渗透。

该数据窃贼声称盗取了1300万张含有个人信息的支持工单、15000条员工记录、所有HackerOne提交内容、内部文件及其他信息。

截至发稿，Adobe尚未回应置评请求。

据恶意软件监测机构vx-underground分析，Adobe此次数据泄露事件似乎属实，"所有曾向Adobe提交帮助台工单或以任何形式寻求过技术支持的用户，均可能受到影响。"

Q&A

Q1：UNC6783是什么团伙？主要攻击方式是什么？

A：UNC6783是谷歌威胁情报小组追踪的一个以经济利益为驱动的新型勒索团伙，可能与"Raccoon"相关身份存在关联。其主要攻击方式是通过网络钓鱼和社会工程手段，重点攻击呼叫中心和业务流程外包商（BPO），利用伪造的Okta登录页面窃取员工凭据，绕过多因素认证后入侵客户企业IT环境，最终窃取数据并发送勒索信。

Q2：UNC6783如何绕过多因素认证（MFA）？

A：UNC6783使用定制化网络钓鱼工具包，通过窃取受害者设备的剪贴板内容来获取认证信息，从而绕过MFA保护。此外，攻击者还会将自己的设备注册到受害者的账户环境中，以实现对目标系统的持续访问权限。同时，他们还会伪装成安全软件更新，诱骗员工下载远程访问恶意软件，进一步扩大控制范围。

Q3：Adobe数据泄露事件泄露了哪些信息？

A：根据自称"Mr. Raccoon"的攻击者声称，此次针对Adobe的入侵共窃取了约1300万张含有个人信息的支持工单、15000条员工记录、所有HackerOne漏洞提交内容以及其他内部文件。恶意软件监测机构vx-underground认为此次泄露事件属实，所有曾向Adobe提交过帮助台工单或请求技术支持的用户均可能受到影响。截至目前，Adobe尚未就此事作出回应。