谷歌旗下的Mandiant公司周五表示,發現了一種"威脅活動擴張"現象,其使用的攻擊手法與名為ShinyHunters的經濟驅動型黑客組織所策劃的勒索主題攻擊相一致。
這些攻擊利用高級語音釣魚(vishing)技術和偽裝成目標公司的虛假憑證竊取網站,通過收集單點登錄(SSO)憑證和多因素身份驗證(MFA)代碼來獲取對受害者環境的未授權訪問。
攻擊的最終目標是針對基於雲的軟體即服務(SaaS)應用程序,竊取敏感數據和內部通信內容,並對受害者實施勒索。
這家科技巨頭的威脅情報團隊表示,他們正在多個集群下跟蹤這些活動,包括UNC6661、UNC6671和UNC6240(又名ShinyHunters),以考慮到這些組織可能正在演變其作案手法或模仿之前觀察到的戰術。
Mandiant指出:"雖然這種針對身份提供商和SaaS平台的方法與我們之前觀察到的ShinyHunters品牌勒索活動前的威脅活動一致,但隨著這些威脅行為者尋求更多敏感數據進行勒索,目標雲平台的範圍繼續擴大。此外,他們似乎在最近的事件中升級了勒索策略,包括騷擾受害者人員等手段。"
語音釣魚和憑證竊取活動的詳細情況
UNC6661被觀察到在致電目標受害組織的員工時假扮IT人員,以指導他們更新多因素身份驗證(MFA)設置為幌子,引導他們訪問憑證竊取鏈接。該活動記錄於2026年1月初至中旬期間。
竊取的憑證隨後被用於註冊攻擊者自己的MFA設備,然後在網路中橫向移動,從SaaS平台竊取數據。至少在一個案例中,威脅行為者利用其對受損電子郵件賬戶的訪問權限,向加密貨幣相關公司的聯繫人發送更多釣魚郵件。這些郵件隨後被刪除以掩蓋痕跡。之後由UNC6240實施勒索活動。
UNC6671也被發現冒充IT人員欺騙受害者,自2026年1月初以來,在受害者品牌的憑證竊取網站上獲取他們的憑證和MFA身份驗證代碼。至少在某些情況下,威脅行為者獲得了Okta客戶賬戶的訪問權限。UNC6671還利用PowerShell從SharePoint和OneDrive下載敏感數據。
UNC6661和UNC6671之間的差異涉及註冊憑證竊取域名時使用不同的域名註冊商(UNC6661使用NICENIC,UNC6671使用Tucows),以及UNC6671活動後發送的勒索郵件與已知的UNC6240指標不重疊。
這表明可能涉及不同的人員群體,說明了這些網路犯罪組織的無定形性質。此外,針對加密貨幣公司的攻擊表明,威脅行為者可能還在探索進一步的經濟獲利途徑。
為應對SaaS平台面臨的威脅,谷歌列出了一長串加固、日誌記錄和檢測建議:
改進服務台流程,包括要求人員通過實時影片通話驗證身份
限制對可信出口點和物理位置的訪問;強制使用強密碼;並移除簡訊、電話和電子郵件作為身份驗證方法
限制管理平面訪問,審計暴露的密鑰並強制執行設備訪問控制
實施日誌記錄以提高對身份操作、授權和SaaS導出行為的可見性
檢測MFA設備註冊和MFA生命周期變化;尋找表明使用ToogleBox Email Recall等工具進行郵箱操縱活動的OAuth/應用授權事件,或在正常工作時間之外發生的身份事件
谷歌表示:"這項活動不是供應商產品或基礎設施中安全漏洞的結果。相反,它繼續凸顯社會工程的有效性,並強調組織在可能的情況下轉向抗釣魚MFA的重要性。FIDO2安全密鑰或通行密鑰等方法在抵禦社會工程方面的效果遠優於基於推送或簡訊驗證的方法。"
Q&A
Q1:ShinyHunters式語音釣魚攻擊是如何竊取用戶憑證的?
A:攻擊者假扮成IT人員致電目標組織員工,以更新多因素身份驗證設置為藉口,引導員工訪問偽裝成目標公司的虛假憑證竊取網站,從而收集單點登錄憑證和MFA驗證代碼。竊取憑證後,攻擊者會註冊自己的MFA設備,在網路中橫向移動竊取SaaS平台的敏感數據。
Q2:企業如何防範針對SaaS平台的語音釣魚攻擊?
A:谷歌建議企業採取多項措施:改進服務台流程,要求通過實時影片通話驗證身份;限制訪問權限並強制使用強密碼;移除簡訊、電話等易受攻擊的身份驗證方法;實施全面的日誌記錄;最重要的是採用抗釣魚的MFA方法,如FIDO2安全密鑰或通行密鑰,這些方法能有效抵禦社會工程攻擊。
Q3:UNC6661和UNC6671這兩個威脅組織有什麼區別?
A:這兩個組織的攻擊手法相似,都假冒IT人員進行語音釣魚,但存在一些差異:UNC6661使用NICENIC註冊憑證竊取域名,而UNC6671使用Tucows;UNC6671活動後的勒索郵件與已知ShinyHunters指標不重疊。這些差異表明可能涉及不同的人員群體,反映了網路犯罪組織的多樣化特徵。
