Mandiant, propiedad de Google, dijo el viernes que identificó una “expansión en la actividad de amenazas” que utiliza técnicas consistentes con ataques con temas de perjuicio orquestados por un comunidad de hackers con motivación financiera conocido como ShinyHunters.
Los ataques aprovechan el phishing de voz innovador (incluso conocido como vishing) y sitios falsos de casa recoleta de credenciales que imitan a las empresas objetivo para obtener camino no calificado a los entornos de las víctimas mediante la resumen de credenciales de inicio de sesión (SSO) y códigos de autenticación multifactor (MFA).
El objetivo final de los ataques es apuntar a aplicaciones de software como servicio (SaaS) basadas en la aglomeración para desviar datos confidenciales y comunicaciones internas y perjudicar a las víctimas.
El equipo de inteligencia de amenazas del hércules tecnológico dijo que está rastreando la actividad en múltiples grupos, incluidos UNC6661, UNC6671 y UNC6240 (incluso conocido como ShinyHunters), para tener en cuenta la posibilidad de que estos grupos puedan estar evolucionando su modus operandi o imitando tácticas observadas previamente.
“Si perfectamente esta metodología de apuntar a proveedores de identidad y plataformas SaaS es consistente con nuestras observaciones previas de la actividad de amenazas que preceden a la perjuicio de la marca ShinyHunters, la variedad de plataformas en la aglomeración específicas continúa expandiéndose a medida que estos actores de amenazas buscan datos más confidenciales para la perjuicio”, señaló Mandiant.
“Adicionalmente, parecen estar intensificando sus tácticas de perjuicio con incidentes recientes, incluido el acoso al personal de las víctimas, entre otras tácticas”.
Los detalles de la actividad de vishing y robo de credenciales son los siguientes:
- Se ha observado que UNC6661 se hace acaecer por personal de TI en llamadas a empleados de organizaciones víctimas específicas, dirigiéndolos a enlaces de casa recoleta de credenciales con el pretexto de indicarles que actualicen su configuración de autenticación multifactor (MFA). La actividad se registró entre principios y mediados de enero de 2026.
- Las credenciales robadas luego se utilizan para registrar su propio dispositivo para MFA y luego moverse lateralmente a través de la red para extraer datos de las plataformas SaaS. En al menos un caso, el actor de amenazas utilizó su camino a cuentas de correo electrónico comprometidas como armamento para cursar más correos electrónicos de phishing a contactos de empresas centradas en criptomonedas. Luego, los correos electrónicos fueron eliminados para tapar las pistas. A esto le sigue la actividad de perjuicio realizada por UNC6240.
- Igualmente se ha identificado que UNC6671 se hace acaecer por personal de TI para engañar a las víctimas como parte de los esfuerzos para obtener sus credenciales y códigos de autenticación MFA en sitios de casa recoleta de credenciales de marca de la víctima desde principios de enero de 2026. Al menos en algunos casos, los actores de amenazas obtuvieron camino a las cuentas de los clientes de Okta. UNC6671 incluso ha diligente PowerShell para descargar datos confidenciales desde SharePoint y OneDrive.
- Las diferencias entre UNC6661 y UNC6671 se relacionan con el uso de diferentes registradores de dominios para registrar los dominios de casa recoleta de credenciales (NICENIC para UNC6661 y Tucows para UNC6671), así como el hecho de que un correo electrónico de perjuicio enviado luego de la actividad de UNC6671 no se superpuso con los indicadores conocidos de UNC6240.
- Esto indica que pueden estar involucrados diferentes grupos de personas, lo que ilustra la naturaleza amorfa de estos grupos de ciberdelincuentes. Es más, el ataque a empresas de criptomonedas sugiere que los actores de la amenaza incluso pueden estar buscando explorar otras vías para obtener ganancias financieras.
Para contrarrestar la amenaza que representan las plataformas SaaS, Google ha descrito una larga serie de recomendaciones de protección, registro y detección:
- Mejorar los procesos de la mesa de ayuda, incluido el requisito de que el personal solicite una videollamada en vivo para repasar su identidad.
- Circunscribir el camino a puntos de salida y ubicaciones físicas confiables; hacer cumplir contraseñas seguras; y eliminar SMS, llamadas telefónicas y correos electrónicos como métodos de autenticación
- Restrinja el camino al plano de despacho, audite los secretos expuestos y aplique controles de camino a los dispositivos
- Implemente el registro para aumentar la visibilidad de las acciones de identidad, las autorizaciones y los comportamientos de exportación de SaaS.
- Detectar la inscripción de dispositivos MFA y los cambios en el ciclo de vida de MFA; busque eventos de autorización de aplicaciones/OAuth que sugieran actividad de manipulación del receptáculo mediante utilidades como ToogleBox Email Recall, o eventos de identidad que ocurran fuera del horario comercial regular
“Esta actividad no es el resultado de una vulnerabilidad de seguridad en los productos o la infraestructura de los proveedores”, dijo Google. “En cambio, continúa resaltando la efectividad de la ingeniería social y subraya la importancia de que las organizaciones avancen en dirección a MFA resistente al phishing siempre que sea posible. Métodos como las claves de seguridad o claves de camino FIDO2 son resistentes a la ingeniería social de maneras que la autenticación basada en push o SMS no lo son”.
