UNC6783勒索组织通过BPO和客服钓鱼攻击数十家大型企业，或与Adobe数据泄露有关

据Google威胁情报小组披露，一个被追踪为UNC6783的经济动机威胁组织通过针对呼叫中心、业务流程外包商（BPO）和企业客服人员的复杂攻击活动，已针对"数十家"高价值企业。

攻击手法

UNC6783采用多阶段攻击链：

1. 初始访问：通过在线聊天进行社会工程，引导员工访问伪造的Okta登录页面（如 <org>.zendesk-support<##>.com）
2. 绕过MFA：自定义钓鱼工具包窃取剪贴板内容以绕过多因素认证
3. 持久化：注册攻击者自有设备以获取持久访问权限
4. 横向移动：利用窃取的BPO凭据访问客户IT环境
5. 数据窃取：窃取敏感企业数据
6. 勒索：通过Proton Mail发送勒索信

可能与Adobe泄露有关

该组织可能与"Mr. Raccoon"身份有关，此人据称通过印度BPO入侵Adobe：

• 在一名员工设备上部署远程访问工具
• 钓鱼该员工的经理
• 声称窃取了1300万个支持工单、15000条员工记录、所有HackerOne提交和内部文档
• vx-underground表示："任何向Adobe提交过客服工单的人都可能受到影响"

显著技术特征

• 伪造安全软件更新诱骗受害者下载远程访问恶意软件
• BPO定向——由Scattered Spider和ShinyHunters推广的攻击方式
• 直接客服钓鱼——Google称针对支持人员的语音钓鱼攻击"激增"

防御建议

• 仔细验证Okta登录页面URL，尤其是zendesk-support域名的变体
• 为BPO和呼叫中心访问实施额外控制
• 监控MFA/身份系统中的异常设备注册
• 培训客服人员识别在线聊天社会工程攻击
• 审查BPO关联账户的访问日志