Die Angreifer setzen laut GTIG auf Live-Chats, um Beschäftigte auf gefälschte Okta-Anmeldeseiten zu locken. Zum Einsatz kommt dabei ein Phishing-Kit, das den Inhalt der Zwischenablage ausliest und so die übliche Verifizierung per Mehr-Faktor-Authentifizierung (MFA) umgeht. Ergänzend nutzt die Gruppe gefälschte Zendesk-Supportseiten, die sich als Domain der jeweils angegriffenen Organisation ausgeben.

Mit den übernommenen Mitarbeiterkonten registrieren die Angreifer eigene Geräte in der kompromittierten Umgebung und sichern sich damit dauerhaften Zugriff. Laut Larsen wurde zudem beobachtet, wie die Gruppe gefälschte Sicherheitsupdates verwendet, um Opfer zum Herunterladen von Schadsoftware für den Fernzugriff zu bewegen. Nach dem Abfluss der Daten habe UNC6783 Proton-Mail-Konten genutzt, um Erpresserschreiben für den Datendiebstahl zuzustellen.

Die von GTIG beschriebenen Vorgehensweisen und der Verweis auf „Raccoon" deuten darauf hin, dass es sich um denselben Mr. Raccoon handelt, der den Diebstahl einer großen Menge an Adobe-Daten von einer BPO-Firma in Indien für sich beanspruchte. Zu den gestohlenen Daten zählen nach Angaben des Hackers persönliche Informationen von 15.000 Beschäftigten, Millionen von Support-Tickets sowie Einreichungen aus einem Bug-Bounty-Programm.

Der Angriff begann Berichten zufolge mit einer Phishing-E-Mail an einen Support-Mitarbeiter der BPO-Firma, der dazu gebracht wurde, ein Schadprogramm für den Fernzugriff (RAT) auszuführen. Damit erhielt der Hacker vollen Zugriff auf dessen Rechner. Anschließend führte der Angreifer eine Erkundung durch und verschickte über die E-Mail-Adresse des Mitarbeiters eine zweite Phishing-Mail an einen Vorgesetzten, der daraufhin die Zugangsdaten für die Support-Plattform herausgab. Nach eigener Darstellung exportierte Mr. Raccoon die gesamte Adobe-Datenbank mit einer einzigen Anfrage.

SecurityWeek hat Adobe um eine Stellungnahme zu den Behauptungen des Hackers gebeten und will den Artikel bei einer Antwort aktualisieren.