Bei den Angriffen über Live-Chat lenkt der Akteur Support-Mitarbeiter auf gefälschte Okta-Anmeldeseiten. Diese liegen auf Domains, die jene des Zielunternehmens nachahmen und dem Muster <org>[.]zendesk-support<##>[.]com folgen. Laut Larsen kann das dabei eingesetzte Phishing-Kit Inhalte der Zwischenablage auslesen und so den Schutz durch Mehr-Faktor-Authentifizierung (MFA) umgehen. Damit kann der Angreifer ein eigenes Gerät bei der Organisation registrieren.

Google beobachtete zudem Angriffe, bei denen UNC6783 gefälschte Sicherheitsupdates verteilte, um darüber Schadsoftware für den Fernzugriff einzuschleusen. Nach dem Diebstahl sensibler Daten geht der Akteur zur Erpressung über und kontaktiert die Opfer über ProtonMail-Adressen mit Zahlungsforderungen.

Während GTIG keine weiteren Angaben zu „Raccoon" machte, berichtete das Bedrohungsanalyse-Konto International Cyber Digest kürzlich, dass eine Person unter dem Alias „Mr. Raccoon" einen Einbruch bei Adobe für sich reklamiere – etwas, das das Unternehmen bislang nicht bestätigt hat.

Der Angreifer gab an, Zugang zu Adobe-Daten erlangt zu haben, nachdem er einen in Indien ansässigen BPO-Dienstleister des Unternehmens kompromittiert habe. Auf dem Rechner eines Mitarbeiters sei ein Fernzugriffstrojaner (RAT) installiert worden, anschließend habe man dessen Vorgesetzten mit einer Phishing-Attacke angegriffen. „Mr. Raccoon" will dabei 13 Millionen Support-Tickets erbeutet haben, die persönliche Daten, Mitarbeiterunterlagen, HackerOne-Meldungen und interne Dokumente enthalten.

Gegenüber BleepingComputer bestätigte der Akteur hinter dem CrunchyRoll-Einbruch, auch für den Adobe-Angriff verantwortlich zu sein, legte dafür jedoch keine Belege vor.

Googles Tochter Mandiant nennt mehrere Empfehlungen zur Abwehr von UNC6783-Angriffen: den Einsatz von FIDO2-Sicherheitsschlüsseln für die MFA, die Überwachung von Live-Chats auf Missbrauch, das Blockieren gefälschter Domains, die dem Zendesk-Muster entsprechen, sowie die regelmäßige Überprüfung registrierter MFA-Geräte.