UNC6783 nutzt eine äußerst raffinierte Angriffsmethode: Statt direkt Zielunternehmen zu attackieren, kompromittieren die Hacker zunächst deren Dienstleister. Dazu zählen Business-Process-Outsourcing-Anbieter, die weltweit für Großkonzerne arbeiten. Über diese Hintertür erhalten die Cyberkriminellen dann Zugriff auf hochwertige Daten – und das mit deutlich weniger Abwehrbarrieren als bei direkten Angriffen.
Bei den Angriffen setzen die Kriminellen auf bewährte Social-Engineering-Methoden: Phishing-E-Mails leiten Support-Mitarbeiter auf gefälschte Okta-Anmeldeseiten weiter, die unter Domains wie “
Google-Forscher haben zudem beobachtet, dass UNC6783 gefälschte Sicherheitsupdates einsetzt, um Remote-Access-Malware auf Systemen einzuschleusen. Nach erfolgreicher Datenexfiltration kontaktieren die Täter ihre Opfer über ProtonMail-Adressen und fordern Lösegeld.
Die Verbindung zu “Raccoon” ist bemerkenswert: Eine Person unter diesem Alias soll jüngst eine Sicherheitslücke bei Adobe-Services gestanden haben. Der Hacker behauptete, über einen in Indien ansässigen BPO-Dienstleister eingedrungen zu sein und 13 Millionen Support-Tickets gestohlen zu haben – inklusive Kundendaten, Mitarbeiteraufzeichnungen und HackerOne-Submissions. Während Adobe diese Brute nicht offiziell bestätigte, deutet die Aussage des Crunchyroll-Hackers auf eine mögliche Verbindung hin.
Google empfiehlt deutschen Unternehmen und ihren Dienstleistern konkrete Gegenmaßnahmen: FIDO2-Sicherheitsschlüssel statt reiner SMS-basierter MFA, verstärkte Überwachung von Live-Chat-Kanälen, das Blockieren von Domains mit Zendesk-ähnlichen Mustern und regelmäßige Audits der MFA-Device-Registrierungen.