In den letzten Monaten ist ein störendes Muster entstanden: Cyberkriminalitätsgruppen nutzen das Vertrauen zwischen Unternehmen und externen Dienstleistern, um Türen für hochwertige Unternehmen zu öffnen. Laut der Analyse der Bedrohungs-Intelligenz-Teams von Google hat ein Track-Assistent wie UNC6783 die Outsourcing-Anbieter von Geschäftsprozessen (BPO) dazu verurteilt, dann an ihre Kunden zu pouncen und sensible Informationen zu extrahieren, die sie dann zur Rettung verwenden.
Was diese Taktik besonders gefährlich macht, ist seine scheinbare Einfachheit und Wirksamkeit. Anstatt ein großes Unternehmen direkt zu verletzen, konzentrieren sich Angreifer auf Unternehmen, die bereits einen legitimen Zugang zu internen Daten, Werkzeugen oder Systemen haben. Durch Angreifen des externen Links - der BPO - reduzieren Sie die Angriffsfläche und erhöhen die Erfolgswahrscheinlichkeit durch die Nutzung von Vertrauensbeziehungen und Support-Kanälen. Google und andere Reaktionsteams haben Kampagnen dokumentiert, in denen Dutzende von Unternehmen von dieser Methode betroffen sind.
Die von UNC6783 verwendeten Vektoren sind meist Social Engineering: gezielte Phishing-Kampagnen und Angriffe auf Live-Chat-Support-Agenten. Bei diesen Vorfällen führen Angreifer Helpdesk-Mitarbeiter zu geschmiedeten Anmeldeseiten, die Identitätsdienste oder Support-Panels imitieren, oft mit Domains, die legitim erscheinen sollen. Ziel ist es nicht nur, Anmeldeinformationen zu stehlen, sondern auch Barrieren wie Multifaktor-Authentifizierung (MFA) zu entfernen. Laut der Analyse, die Austin Larsen, ein führender Analyst der Google-Geheimdienstgruppe, einige Phishing-Kits, die in diesen Kampagnen eingesetzt werden, sind sogar in der Lage, Clipboard-Inhalte zu erfassen, um zusätzliche Sicherheitsfaktoren und Record-Geräte zu verspotten, als wären sie zuverlässig.
Neben dem Missbrauch von Live-Chat und betrügerischen Login-Seiten wurden weitere direkte Versuche beobachtet: die Verteilung angeblicher Sicherheitsupdates, die tatsächlich Remote Access Malware installieren, oder die Supplantierung von Mitarbeitern, um Privilegien in kritischen Systemen zu gewinnen. Diese Verfahren ermöglichen es Angreifern, sich seitlich zu bewegen, Daten zu sammeln und schließlich einen Erpressungsvorgang vorzubereiten. In vielen Fällen haben Cyberkriminelle die Opfer durch verschlüsselte und anonyme Mail-Konten - zum Beispiel Dienstleistungen wie ProtonMail - kontaktiert, um Zahlungen im Austausch zu verlangen, um die weggenommenen Informationen nicht zu veröffentlichen.
Forscher haben auch auf die mögliche Verbindung zwischen UNC6783 und einer Identität, die als "Raccoon" bekannt ist, hingewiesen. Berichte und Netzwerkpublikationen haben diesen individuellen oder Gruppenansprüchen von Lücken gegen große Unternehmen zugeschrieben, die den Zugang nach der BPO beanspruchen. Einige dieser Ansprüche wurden noch nicht vollständig von den beteiligten Unternehmen überprüft, aber sie veranschaulichen ein wiederkehrendes Muster: das Engagement von externen Lieferanten gefolgt von Lecks oder Zahlungsanforderungen.
Angesichts dieses Szenarios kombinieren die Verteidigungsempfehlungen technische und operative Maßnahmen. Technisch reduziert die Annahme von wirklich phishing-resistenten Authentifizierungsmechanismen, wie FIDO2-basierte Sicherheitsschlüssel, die Fähigkeit dieser Kits, den Zugang zu verfälschen drastisch. Google- und Folgereaktionsteams unterstreichen auch die Bedeutung der Überwachung und des Schutzes von Live-Support-Kanälen, denn sie sind Vektoren, die es einem Angreifer ermöglichen, menschliche Interaktionen in Echtzeit zu manipulieren. Eine weitere wesentliche Praxis ist es, Domänen zu blockieren, die legitime Muster von Support-Anbietern - zum Beispiel Variationen, die durch Pflegeplattform-Subdomains - nachahmen und regelmäßig die Aufzeichnungen von in MFA registrierten Geräten zur Erkennung von betrügerischen Registrierungen überprüfen.
Diese Empfehlungen sind keine Theorie: Die Annahme strenger Kontrollen und die Zusammenarbeit mit den Lieferanten können den Unterschied zwischen einem enthaltenen Vorfall und einer Massenfiltration machen. Die Sicherheit kann nicht mehr auf die Grenzen des Unternehmensumfeldes beschränkt werden; sie muss auf die Lieferkette ausgedehnt werden mit Verträgen, technischen Bewertungen und Antwortsimulationen, einschließlich BPO.
Für weitere Analysen und öffentliche Beobachtungen zu diesen Kampagnen bieten die Berichte und Kommuniqués von Googles Intelligenzteams einen Ausgangspunkt für das Verständnis von Taktiken und Artefakten. Sie können das Publikationsarchiv der Google Threat Analysis Group für Forschung und Empfehlungen konsultieren: https: / / blog.google / menat-analysis-group /. Für den journalistischen Kontext und die Erfassung von Vorfällen, die diesen Akteuren und den öffentlichen Anforderungen an Lücken zugeschrieben sind, haben spezialisierte Medien wie BleepingComputer die Entwicklung von Fällen verfolgt: BlepingComputer - Deckung für UNC6783. Anschuldigungen wurden auch auf Social Media für Konten veröffentlicht, die offener Intelligenz folgen, wie dieser X-Post, der angebliche Behauptungen von "Mr. Raccoon" detailliert erläutert: https: / / x.com / IntCyberDigest / status / 2039774692085526854, und technische Aussagen, die von Analysten in LinkedIn geteilt werden: veröffentlicht von Austin Larsen. In Bezug auf phishing-resistente Authentifizierungsmechanismen behält die FIDO-Allianz Ressourcen und Anleitungen bei: https: / / fidoalliance.org /.
Kurz gesagt, der Fall von UNC6783 ist eine Erinnerung daran, dass Sicherheit ein gemeinsames Ökosystem ist. Der heutige Schutz der Organisation beinhaltet die enge Zusammenarbeit mit Partnern, die mit kritischen Daten und Dienstleistungen umgehen, die Kombination solider technischer Kontrollen mit menschlichem Bewusstsein und die ständige Überprüfung von Zugangskonfigurationen.. Die Unternehmen, die diese Praktiken einführen, werden besser positioniert, um die Erpressungskampagnen zu stoppen, bevor sie klettern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...