Nhóm tống tiền mới tấn công hàng chục tập đoàn lớn qua lừa đảo helpdesk và BPO

Nhóm tống tiền mới tấn công hàng chục tập đoàn lớn qua lừa đảo helpdesk và BPO

Một nhóm tống tiền mới đã nhắm mục tiêu vào “hàng chục tập đoàn có giá trị cao” thông qua các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội nhắm vào bộ phận hỗ trợ (helpdesk), theo báo cáo từ Google.

Nhóm Tình báo Mối đe dọa của Google (Google Threat Intelligence Group) đang theo dõi nhóm này dưới mã danh UNC6783. Trong một bài đăng trên blog, nhà phân tích mối đe dọa chính Austin Larsen cho biết nhóm này có thể có mối liên hệ với nhân vật “Raccoon”.

“Chúng tôi nhận thấy hàng chục thực thể doanh nghiệp có giá trị cao thuộc nhiều lĩnh vực khác nhau đang bị nhắm mục tiêu”, Larsen viết.

Tấn công qua BPO và Trung tâm gọi

UNC6783 chủ yếu xâm nhập vào các trung tâm cuộc gọi và các công ty thuê ngoài quy trình kinh doanh (BPO) làm việc cho các tập đoàn lớn. Đây là phương thức tấn công từng được các nhóm như Scattered Spider và ShinyHunters phổ biến. Khi tội phạm có quyền truy cập vào mạng lưới của các BPO, chúng có thể sử dụng thông tin đăng nhập hợp pháp bị đánh cắp từ nhân viên BPO để đột nhập vào môi trường IT của khách hàng.

Google cũng quan sát thấy những kẻ tống tiền này nhắm trực tiếp đến nhân viên hỗ trợ và helpdesk của các tập đoàn để truy cập và đánh cắp dữ liệu nhạy cảm.

“Chiến dịch này dựa vào kỹ thuật xã hội qua trò chuyện trực tiếp (live chat) để dẫn dắt nhân viên đến các trang đăng nhập giả mạo Okta độc hại”, Larsen cho biết. “Các tên miền này thường ngụy tạo thành tổ chức mục tiêu bằng các mẫu tên như [.]zendesk-support[.]com”.

Vượt qua xác thực đa yếu tố (MFA)

Kẻ tấn công sử dụng bộ công cụ lừa đảo (phishing kit) để vượt qua xác thực đa yếu tố (MFA) bằng cách đánh cắp nội dung bộ nhớ tạm (clipboard), sau đó đăng ký thiết bị của chính chúng để duy trì quyền truy cập liên tục vào môi trường của nạn nhân.

Google cũng phát hiện những kẻ xấu sử dụng các bản cập nhật phần mềm bảo mật giả để lừa nạn nhân tải xuống phần mềm độc hại cho phép truy cập từ xa.

Sau khi đánh cắp dữ liệu của các tập đoàn, nhóm này sử dụng tài khoản Proton Mail để gửi thư tống tiền đến nạn nhân.

Liên quan đến vụ việc Adobe?

Tuần trước, International Cyber Digest đưa tin rằng Adobe bị xâm phạm bởi một kẻ tấn công tự xưng là Mr. Raccoon. Kẻ này được cho là đã truy cập được thông qua một BPO tại Ấn Độ bằng cách trước hết triển khai công cụ truy cập từ xa lên một nhân viên, sau đó lừa đảo qua email (phishing) người quản lý của nhân viên đó.

Kẻ đánh cắp dữ liệu này tuyên bố đã lấy trộm 13 triệu vé hỗ trợ chứa dữ liệu cá nhân, 15.000 hồ sơ nhân viên, tất cả các bài gửi trên HackerOne, tài liệu nội bộ và các thông tin khác.

Adobe chưa phản hồi ngay lập tức yêu cầu bình luận từ The Register về vấn đề này. Theo các thợ săn phần mềm độc hại vx-underground, vụ việc tại Adobe có vẻ là chính xác và “bất kỳ ai đã gửi vé hỗ trợ cho Adobe hoặc yêu cầu trợ giúp theo bất kỳ hình thức nào đều có thể bị ảnh hưởng”.