В мире корпоративной кибербезопасности зафиксирована активность новой высококвалифицированной группы, специализирующейся на финансовых атаках против крупного бизнеса. Эксперты Google Threat Intelligence Group идентифицировали её под названием UNC6783. По данным исследователей, злоумышленники уже скомпрометировали "несколько десятков" компаний высокой ценности, используя изощрённые методы социальной инженерии, нацеленные на службы технической поддержки и кол-центры. Эта кампания демонстрирует опасную эволюцию тактик: вместо массового спама атакующие точечно взламывают цепочки поставки ИТ-услуг, чтобы получить доступ к инфраструктурам конечных заказчиков.
Описание
Группа действует по чёткой схеме, сочетающей человеческий и технический фактор. Первоначально они компрометируют центры обработки вызовов или компании, занимающиеся аутсорсингом бизнес-процессов. Цель - кража учётных данных сотрудников, которые впоследствии используются для проникновения в ИТ-среды клиентов этих BPO-провайдеров. Кроме того, UNC6783 напрямую атакует сотрудников внутренних служб поддержки корпораций через живые чаты на сайтах. Под видом обращения в техническую службу они направляют персонал на поддельные страницы входа в систему Okta (популярный сервис управления идентификацией и доступом). Для этого используются домены, маскирующиеся под легитимные сервисы поддержки, например, с паттерном "<организация>[.]zendesk-support<##>[.]com".
Для обхода многофакторной аутентификации группа использует специализированный фишинг-кит. Этот инструмент не только перехватывает логины и пароли, но и похищает содержимое буфера обмена, куда пользователи часто копируют одноразовые коды. Более того, злоумышленники используют скомпрометированные сессии для регистрации собственных устройств в качестве доверенных для MFA, что обеспечивает им устойчивый доступ даже после смены пароля. Для закрепления в системе они распространяют вредоносное ПО для удалённого доступа, маскируя его под обновления безопасности. После завершения сбора данных, который, вероятно, включает конфиденциальные корпоративные документы и базы данных, вымогатели рассылают требования о выкупе через анонимные аккаунты в сервисе Proton Mail.
В ходе расследования была обнаружена потенциальная связь UNC6783 с персонажем, известным под псевдонимом "Mr. Raccoon". Именно эта личность взяла на себя ответственность за недавний масштабный инцидент в компании Adobe, который, по её заявлениям, был осуществлён через индийского BPO-провайдера. В результате утечки, как сообщил злоумышленник, оказались скомпрометированы данные 13 миллионов тикетов поддержки, 15 тысяч записей о сотрудниках и множество других внутренних документов. Эта связь указывает на то, что группа может иметь опытные каналы для эксплуатации уязвимостей в глобальных цепочках аутсорсинга.
Атака имеет критические последствия для бизнеса. Компрометация BPO-провайдера создаёт эффект домино, ставя под угрозу безопасность всех его клиентов. Утечка внутренних документов, переписки поддержки и данных сотрудников может привести к многомиллионным убыткам из-за штрафов регуляторов, судебных исков и потери репутации. Остановка работы ключевых сервисов из-за установки вредоносного ПО способна парализовать операционную деятельность. Фактически, атакующие нашли высокоэффективный вектор, позволяющий через одного уязвимого посредника атаковать десятки защищённых корпораций.
С технической точки зрения кампания демонстрирует превосходное понимание атакующими корпоративных процессов. Использование живого чата для социальной инженерии обходит многие традиционные фильтры электронной почты. Поддельные домены, имитирующие Zendesk (платформа для службы поддержки), выглядят правдоподобно для занятых сотрудников. Механизм кражи данных из буфера обмена и регистрации собственных MFA-устройств является частью тренда на атаки против многофакторной аутентификации, которая ранее считалась достаточно надёжным барьером. Распространение вредоносного ПО под видом легитимных обновлений также затрудняет его обнаружение системами защиты на конечных точках.
Для специалистов по информационной безопасности этот инцидент служит тревожным сигналом о необходимости пересмотра подходов к защите периметра, который теперь включает в себя всех внешних поставщиков услуг. Традиционные меры, ориентированные на прямые атаки на корпоративную сеть, могут оказаться бесполезными, если злоумышленник входит через легитимные учётные данные компрометированного партнёра. Кроме того, требуется усилить контроль за процессами аутентификации, особенно за событиями регистрации новых устройств для MFA, которые должны немедленно расследоваться. Осведомлённость персонала, особенно сотрудников первых линий поддержки, о подобных сценариях социальной инженерии становится критически важным элементом обороны. В долгосрочной перспективе единственным эффективным способом противостоять таким фишинг-атакам является переход на устойчивые к фишингу методы MFA, такие как аппаратные ключи безопасности, соответствующие стандарту FIDO2.
Индикаторы компрометации
Domains
- .zendesk-support.com
- .zendesk-support<##>.com
- zendesk-support.com
