De acordo com o **Google** Threat Intelligence Group (GTIG), dezenas de entidades corporativas foram alvo usando este método. **Austin Larsen**, analista principal de ameaças do GTIG, relata que o **UNC6783** geralmente emprega campanhas de engenharia social e phishing para comprometer BPOs que trabalham com empresas-alvo. No entanto, houve casos em que os atores de ameaça contataram diretamente o pessoal de suporte e helpdesk dentro das organizações-alvo para obter acesso. Pesquisadores sugerem que o **UNC6783** pode estar ligado ao **Raccoon**, uma persona conhecida por atingir múltiplos BPOs que fornecem serviços para grandes empresas. ### Táticas de Engenharia Social Em ataques de engenharia social conduzidos via chat ao vivo, o ator de ameaça direciona os funcionários de suporte para páginas de login falsificadas do **Okta**. Essas páginas são hospedadas em domínios que imitam os da empresa-alvo, seguindo o padrão `&lt;org&gt;[.]zendesk-support&lt;##&gt;[.]com`. <a rel="nofollow noopener" href="http://www.linkedin.com/feed/update/urn:li:activity:7447117799153360896/">Larsen afirma</a> que o kit de phishing implantado nesses ataques pode roubar o conteúdo da área de transferência para contornar a proteção de autenticação multifator (MFA), permitindo que o atacante registre seu dispositivo na organização. O **Google** também observou ataques em que o **UNC6783** distribuiu atualizações de segurança falsas para entregar malware de acesso remoto (RAT). ### Extorsão e Potencial Ligação com a Violação da Adobe Após roubar com sucesso dados sensíveis, o ator de ameaça procede à extorsão das vítimas, contatando-as através de endereços **ProtonMail** com exigências de pagamento. Embora o GTIG não tenha oferecido mais informações sobre o **Raccoon**, a conta de inteligência de ameaças International Cyber Digest relatou que alguém usando o pseudônimo "Mr. Raccoon" reivindicou uma violação na **Adobe**, que a empresa ainda não confirmou. O atacante alegou ter obtido acesso a dados da **Adobe** após comprometer um BPO baseado na Índia que trabalhava para a empresa. Eles implantaram um trojan de acesso remoto (RAT) no computador de um funcionário e, subsequentemente, visaram o gerente do funcionário em um ataque de phishing. Mr. Raccoon alegou ter roubado 13 milhões de tickets de suporte contendo dados pessoais, registros de funcionários, submissões do **HackerOne** e documentos internos. O ator de ameaça por trás da violação do **CrunchyRoll** confirmou que também estava por trás do ataque à **Adobe**, mas não forneceu nenhuma evidência. ### Recomendações de Mitigação A **Mandiant do Google** forneceu várias recomendações de defesa contra ataques do **UNC6783**, incluindo: * Implantar chaves de segurança FIDO2 para MFA. * Monitorar chats ao vivo para abuso. * Bloquear domínios falsificados que correspondem aos padrões do **Zendesk**. * Auditar regularmente os registros de dispositivos MFA.