HackerangriffeDatenschutzCyberkriminalität

Google warnt vor UNC6783: Neue Angriffskampagne gegen BPOs und ihre Kunden

Google warnt vor UNC6783: Neue Angriffskampagne gegen BPOs und ihre Kunden
Zusammenfassung

Google hat eine neue Kampagne aufgedeckt, die gezielt auf Business Process Outsourcing-Unternehmen (BPOs) abzielt, um Daten von hochkarätigen Konzernen zu stehlen. Die Bedrohungsgruppe UNC6783, die möglicherweise mit dem Hacker "Mr. Raccoon" verbunden ist, führt koordinierte Social-Engineering- und Phishing-Anschläge durch und nutzt dabei raffinierte Techniken wie gefälschte Okta-Anmeldeseiten und manipulierte Zendesk-Support-Portale. Das Vorgehen ist besonders perfide: Die Angreifer kompromittieren zunächst Mitarbeiter von BPOs, um dann über diese Umwege Zugang zu den eigentlichen Zielunternehmen zu erlangen. Mit gefälschten Sicherheitsupdates verbreiten sie Remote-Access-Malware und exfiltrieren sensible Daten, bevor sie diese für Erpressungszwecke nutzen. Für deutsche Unternehmen, insbesondere solche, die BPO-Dienstleistungen in Anspruch nehmen oder selbst BPO-Services anbieten, stellt diese Kampagne eine erhebliche Bedrohung dar. Deutsche Behörden und Regulatoren sollten Unternehmen warnen, ihre Zugangskontrollmechanismen zu verstärken und Mitarbeiter zu intensiviertem Sicherheitsbewusstsein schulen. Die Verbindung zum Adobe-Datendiebstahl zeigt, dass etablierte, vertrauenswürdige Unternehmen auch durch indirekte Angriffswege gefährdet sind.

Die von Google Threat Intelligence Group (GTIG) dokumentierte Kampagne zeigt ein bewährtes Muster organisierter Cyberkriminalität: Angreifer nutzen BPOs als Einfallstor zu größeren Unternehmen. Laut Austin Larsen, Principal Threat Analyst bei GTIG, konzentriert sich UNC6783 darauf, Supportmitarbeiter und Helpdesk-Personal zu kompromittieren – Positionen, die natürlicherweise über erweiterte Systemzugriffe verfügen.

Die Angriffsmethoden sind rafffiniert und mehrschichtig. UNC6783 nutzt Live-Chat-Funktionen, um Mitarbeiter zu gefälschten Okta-Login-Seiten zu locken. Eine besondere Gefahr geht von einem Phishing-Kit aus, das die Zwischenablage der Opfer ausspioniert – eine Technik, die standardmäßige Multi-Faktor-Authentifizierung (MFA) umgehen kann. Zusätzlich setzen die Hacker auf gefälschte Zendesk-Support-Seiten und täuschend echte Sicherheitssoftware-Updates ein, um Remote-Access-Malware zu verbreiten.

Der Zusammenhang zu Adobe ist besonders aufschlussreich. Der Hacker, der sich als „Mr. Raccoon” bezeichnet, prahlte mit dem Diebstahl umfangreicher Adobe-Daten aus einem indischen BPO. Die gestohlenen Informationen umfassten persönliche Daten von 15.000 Mitarbeitern, Millionen von Support-Tickets und Bug-Bounty-Einreichungen. Der ursprüngliche Angriff startete mit einer Phishing-E-Mail an einen Support-Agent, der dazu verleitet wurde, einen Remote-Access-Trojaner (RAT) auszuführen. Mit Zugriff auf diesen Account führte der Angreifer Aufklärungsarbeit durch und versendete eine weitere Phishing-E-Mail an einen Manager – diesmal erfolgreich, um Zugangsdaten für die Support-Plattform zu erbeuten. Von dort aus konnte der gesamte Adobe-Datenbestand mit einer einzigen Anfrage exportiert werden.

Besonders beunruhigend ist UNC6783s Vorgehen nach erfolgreicher Datenexfiltration: Die Hacker versenden Erpressungsbriefe über Proton Mail und fordern Lösegelder für die Rückgabe oder Geheimhaltung gestohlener Daten. Für deutsche Unternehmen ergibt sich daraus eine doppelte Bedrohung – sowohl direkter Datenverlust als auch das Risiko, über kompromittierte BPO-Partner angegriffen zu werden. Unternehmen sollten ihre Sicherheitsrichtlinien für Drittanbieter überprüfen und BPO-Partner auf angemessene Sicherheitsmaßnahmen prüfen.

Ähnliche Artikel