Google cảnh báo chiến dịch tấn công mới nhắm vào các công ty BPO để đánh cắp dữ liệu doanh nghiệp

Google cảnh báo chiến dịch tấn công mới nhắm vào các công ty BPO để đánh cắp dữ liệu doanh nghiệp

Google Threat Intelligence Group (GTIG) vừa đưa ra cảnh báo về một nhóm tin tặc có động cơ tài chính đang nhắm vào các tổ chức thuê ngoài quy trình kinh doanh (BPO) nhằm đánh cắp dữ liệu thuộc về các công ty có giá trị cao.

Bảo mật email

Nhóm mối đe dọa này được theo dõi dưới mã định danh UNC6783 và có khả năng liên quan đến một nhân vật mang biệt danh "Raccoon" — kẻ đứng sau vụ việc đánh cắp dữ liệu Adobe từ một nhà cung cấp bên thứ ba gần đây.

Nhắm vào nhân viên hỗ trợ để xâm nhập

Theo Austin Larsen, chuyên gia phân tích mối đe dọa chính của GTIG, UNC6783 đã thực hiện các chiến dịch kỹ thuật xã hội và lừa đảo (phishing) nhắm vào hàng chục thực thể doanh nghiệp giá trị cao trên nhiều ngành công nghiệp khác nhau.

"Nhóm tấn công chủ yếu tập trung vào việc xâm phạm các công ty BPO làm việc với các công ty mục tiêu này. Chúng tôi cũng thấy họ nhắm trực tiếp vào nhân viên hỗ trợ và helpdesk của các tổ chức này để có được quyền truy cập đáng tin cậy và đánh cắp dữ liệu nhạy cảm cho các hoạt động tống tiền," Larsen cho biết.

Nhóm tin tặc dựa vào các cuộc trò chuyện trực tiếp (live chat) để dụ dỗ nhân viên truy cập vào các trang đăng nhập Okta giả mạo. Chúng sử dụng một bộ công cụ phishing có khả năng đánh cắp nội dung bộ nhớ tạm (clipboard) để vượt qua quy trình xác thực đa yếu tố (MFA) tiêu chuẩn.

Bảo mật mạng

Các chiến thuật kỹ thuật xã hội của UNC6783 bao gồm việc sử dụng các trang hỗ trợ Zendesk giả mạo, mạo tên miền của tổ chức bị nhắm mục tiêu. Sau khi chiếm đoạt tài khoản của nhân viên mục tiêu, hacker sẽ đăng ký thiết bị của chính họ để duy trì quyền truy cập liên tục vào môi trường đã bị xâm phạm.

GTIG cũng quan sát thấy nhóm này sử dụng các bản cập nhật phần mềm bảo mật giả để lừa nạn nhân tải xuống phần mềm độc hại truy cập từ xa. Sau khi exfiltrate (thu thập và đưa ra ngoài) dữ liệu, UNC6783 được biết là sử dụng tài khoản Proton Mail để gửi thư tống tiền.

Liên quan đến vụ đánh cắp dữ liệu Adobe

Mô tả của GTIG về các chiến thuật của UNC6783 và sự đề cập đến "Raccoon" cho thấy nhóm tin tặc này chính là Mr. Raccoon — người đã nhận trách nhiệm đánh cắp một lượng lớn dữ liệu Adobe từ một công ty BPO tại Ấn Độ.

Hacker này tuyên bố dữ liệu bị đánh cắp bao gồm thông tin cá nhân của 15.000 nhân viên, hàng triệu vé hỗ trợ và các bài đệ trình lỗi (bug bounty submissions).

Cuộc tấn công reportedly bắt đầu bằng một email lừa đảo nhắm vào một nhân viên hỗ trợ tại công ty BPO. Người này bị lừa thực thi một phần mềm từ xa (RAT), cho phép hacker có toàn quyền truy cập vào máy tính của họ.

Tiếp theo, kẻ tấn công thực hiện trinh sát và sử dụng địa chỉ email của nhân viên để gửi một email lừa đảo thứ hai cho một quản lý, người này đã cung cấp thông tin đăng nhập cho nền tảng hỗ trợ. Mr. Raccoon tuyên bố đã xuất toàn bộ cơ sở dữ liệu của Adobe từ nền tảng này chỉ bằng một yêu cầu duy nhất.

SecurityWeek đã liên hệ với Adobe để xin bình luận về tuyên bố của hacker và sẽ cập nhật bài viết nếu công ty phản hồi.