Laut der **Google** Threat Intelligence Group (GTIG) wurden Dutzende von Unternehmenseinheiten mit dieser Methode ins Visier genommen. **Austin Larsen**, leitender Threat Analyst bei GTIG, berichtet, dass **UNC6783** typischerweise Social Engineering und Phishing-Kampagnen einsetzt, um BPOs zu kompromittieren, die mit Zielunternehmen zusammenarbeiten. Es gab jedoch auch Fälle, in denen die Angreifer direkten Kontakt mit Support- und Helpdesk-Mitarbeitern innerhalb der Zielorganisationen aufnahmen, um Zugang zu erhalten. Forscher vermuten, dass **UNC6783** mit **Raccoon** in Verbindung gebracht werden könnte, einer Persona, die dafür bekannt ist, mehrere BPOs ins Visier zu nehmen, die Dienstleistungen für große Unternehmen erbringen. ### Social Engineering-Taktiken Bei Social Engineering-Angriffen über Live-Chats leitet der Angreifer Support-Mitarbeiter zu gefälschten **Okta**-Login-Seiten. Diese Seiten werden auf Domains gehostet, die die Domains des Zielunternehmens imitieren, und folgen dem Muster `&lt;org&gt;[.]zendesk-support&lt;##&gt;[.]com`. <a rel="nofollow noopener" href="http://www.linkedin.com/feed/update/urn:li:activity:7447117799153360896/">Larsen sagt</a>, dass das bei diesen Angriffen eingesetzte Phishing-Kit Inhalte der Zwischenablage stehlen kann, um Multi-Faktor-Authentifizierung (MFA)-Schutz zu umgehen und dem Angreifer die Registrierung seines Geräts beim Unternehmen zu ermöglichen. **Google** hat auch Angriffe beobachtet, bei denen **UNC6783** gefälschte Sicherheitsupdates verteilte, um Remote-Access-Malware (RAT) einzuschleusen. ### Erpressung und möglicher Zusammenhang mit dem Adobe-Einbruch Nachdem sensible Daten erfolgreich gestohlen wurden, geht der Angreifer zur Erpressung der Opfer über und kontaktiert sie über **ProtonMail**-Adressen mit Zahlungsaufforderungen. Während GTIG keine weiteren Informationen über **Raccoon** lieferte, berichtete das Threat-Intelligence-Konto International Cyber Digest, dass jemand mit dem Alias „Mr. Raccoon“ einen Einbruch bei **Adobe** beanspruchte, den das Unternehmen noch nicht bestätigt hat. Der Angreifer behauptete, nach der Kompromittierung eines für das Unternehmen arbeitenden, in Indien ansässigen BPO Zugang zu **Adobe**-Daten erhalten zu haben. Sie setzten einen Remote-Access-Trojaner (RAT) auf dem Computer eines Mitarbeiters ein und nahmen anschließend den Manager des Mitarbeiters in einem Phishing-Angriff ins Visier. Mr. Raccoon behauptete, 13 Millionen Support-Tickets mit persönlichen Daten, Mitarbeiterakten, **HackerOne**-Einreichungen und internen Dokumenten gestohlen zu haben. Der Angreifer hinter dem **CrunchyRoll-Einbruch** bestätigte, dass er auch hinter dem **Adobe**-Angriff steckte, lieferte jedoch keine Beweise. ### Empfehlungen zur Abwehr **Googles Mandiant** hat mehrere Abwehrempfehlungen gegen **UNC6783**-Angriffe bereitgestellt, darunter: * Einsatz von FIDO2-Sicherheitsschlüsseln für MFA. * Überwachung von Live-Chats auf Missbrauch. * Blockieren von gefälschten Domains, die **Zendesk**-Mustern entsprechen. * Regelmäßige Überprüfung von MFA-Geräteregistrierungen.