**Google** Threat Intelligence Group（GTIG）によると、この手法を使用して数十の企業が標的となっています。 GTIGの主任脅威アナリストである**Austin Larsen**氏は、**UNC6783**は通常、ターゲット企業と連携するBPOを侵害するためにソーシャルエンジニアリングおよびフィッシングキャンペーンを利用すると報告しています。しかし、攻撃者がターゲット組織内のサポートおよびヘルプデスク担当者に直接連絡してアクセスを得た事例もあります。 研究者らは、**UNC6783**が、大手企業にサービスを提供する複数のBPOを標的とすることで知られる「Raccoon」というペルソナに関連している可能性があると示唆しています。 ### ソーシャルエンジニアリング戦術 ライブチャットを介して行われるソーシャルエンジニアリング攻撃では、攻撃者はサポート担当者を偽の**Okta**ログインページに誘導します。これらのページは、ターゲット企業のドメインを模倣したドメイン上にホストされ、`<org>[.]zendesk-support<##>[.]com`というパターンに従います。 <a rel="nofollow noopener" href="http://www.linkedin.com/feed/update/urn:li:activity:7447117799153360896/">Larsen氏</a>によると、これらの攻撃で展開されるフィッシングキットは、クリップボードの内容を窃取して多要素認証（MFA）保護を回避し、攻撃者が組織に自身のデバイスを登録できるようにします。 **Google**はまた、**UNC6783**がリモートアクセスマルウェア（RAT）を配信するために偽のセキュリティアップデートを配布した攻撃も観測しています。 ### 恐喝およびAdobe侵害との関連性の可能性 機密データを窃取することに成功した後、攻撃者は被害者に恐喝を仕掛け、**ProtonMail**アドレス経由で連絡を取り、支払いを要求します。 GTIGは「Raccoon」に関する追加情報を提供しませんでしたが、脅威インテリジェンスアカウントInternational Cyber Digestは、「Mr. Raccoon」というエイリアスを使用する人物が**Adobe**での侵害を主張したと報告しており、同社はまだ確認していません。攻撃者は、同社のために働くインド拠点のBPOを侵害した後、**Adobe**データへのアクセスを得たと主張しました。彼らは従業員のコンピューターにリモートアクセス型トロイの木馬（RAT）を仕掛け、その後、その従業員のマネージャーをフィッシング攻撃の標的にしました。 Mr. Raccoonは、個人データ、従業員記録、**HackerOne**の提出物、および内部文書を含む1300万件のサポートチケットを盗んだと主張しました。 **CrunchyRoll侵害**の背後にいる攻撃者は、**Adobe**攻撃の背後にもいたことを確認しましたが、証拠は提供していません。 ### 緩和策の推奨事項 **GoogleのMandiant**は、**UNC6783**攻撃に対するいくつかの防御策を推奨しています。それには以下が含まれます。 * MFAのためのFIDO2セキュリティキーの展開。 * ライブチャットでの不正利用の監視。 * **Zendesk**パターンに一致する偽装ドメインのブロック。 * MFAデバイスの登録状況の定期的な監査。