Selon le groupe de renseignement sur les menaces de **Google** (GTIG), des dizaines d'entités d'entreprise ont été ciblées en utilisant cette méthode. **Austin Larsen**, analyste principal des menaces au GTIG, rapporte que **UNC6783** emploie généralement des campagnes d'ingénierie sociale et de phishing pour compromettre les BPO travaillant avec des entreprises cibles. Cependant, il y a eu des cas où les acteurs de menace ont contacté directement le personnel de support et d'assistance au sein des organisations cibles pour obtenir un accès. Les chercheurs suggèrent que **UNC6783** pourrait être lié à **Raccoon**, une personnalité connue pour cibler plusieurs BPO qui fournissent des services à de grandes entreprises. ### Tactiques d'ingénierie sociale Dans les attaques d'ingénierie sociale menées via le chat en direct, l'acteur de menace dirige les employés du support vers des pages de connexion **Okta** usurpées. Ces pages sont hébergées sur des domaines qui imitent ceux de l'entreprise cible, suivant le modèle `&lt;org&gt;[.]zendesk-support&lt;##&gt;[.]com`. <a rel="nofollow noopener" href="http://www.linkedin.com/feed/update/urn:li:activity:7447117799153360896/">Larsen déclare</a> que le kit de phishing déployé dans ces attaques peut voler le contenu du presse-papiers pour contourner la protection de l'authentification multifacteur (MFA), permettant à l'attaquant d'enregistrer son appareil auprès de l'organisation. **Google** a également observé des attaques où **UNC6783** a distribué de fausses mises à jour de sécurité pour livrer un malware d'accès à distance (RAT). ### Extorsion et lien potentiel avec la violation Adobe Après avoir réussi à voler des données sensibles, l'acteur de menace procède à l'extorsion des victimes, les contactant via des adresses **ProtonMail** avec des demandes de paiement. Bien que le GTIG n'ait pas fourni plus d'informations sur **Raccoon**, le compte de renseignement sur les menaces International Cyber Digest a rapporté que quelqu'un utilisant l'alias « Mr. Raccoon » a revendiqué une violation chez **Adobe**, que l'entreprise n'a pas encore confirmée. L'attaquant a affirmé avoir obtenu l'accès aux données d'**Adobe** après avoir compromis un BPO basé en Inde travaillant pour l'entreprise. Ils ont déployé un cheval de Troie d'accès à distance (RAT) sur l'ordinateur d'un employé, puis ont ciblé le responsable de l'employé dans une attaque de phishing. Mr. Raccoon a affirmé avoir volé 13 millions de tickets de support contenant des données personnelles, des dossiers d'employés, des soumissions **HackerOne** et des documents internes. L'acteur de menace derrière la **violation de CrunchyRoll** a confirmé qu'il était également derrière l'attaque **Adobe**, mais n'a fourni aucune preuve. ### Recommandations d'atténuation **Mandiant de Google** a fourni plusieurs recommandations de défense contre les attaques **UNC6783**, notamment : * Déployer des clés de sécurité FIDO2 pour la MFA. * Surveiller le chat en direct pour les abus. * Bloquer les domaines usurpés qui correspondent aux modèles **Zendesk**. * Auditer régulièrement les enregistrements d'appareils MFA.