Mandiant, eigendom van Google, zei vrijdag dat het een “uitbreiding van de dreigingsactiviteit” heeft geïdentificeerd waarbij gebruik wordt gemaakt van vakmanschap dat consistent is met aanvallen met een afpersingsthema, georkestreerd door een financieel gemotiveerde hackgroep die bekend staat als ShinyHunters.
De aanvallen maken gebruik van geavanceerde voice phishing (ook wel vishing genoemd) en valse sites voor het verzamelen van inloggegevens die doelgerichte bedrijven nabootsen om ongeoorloofde toegang te verkrijgen tot slachtofferomgevingen door aanmeldingsgegevens (SSO) en multi-factor authenticatie (MFA) codes te verzamelen.
Het einddoel van de aanvallen is het aanvallen van cloudgebaseerde software-as-a-service (SaaS)-applicaties om gevoelige gegevens en interne communicatie over te hevelen en slachtoffers af te persen.
Het dreigingsinformatieteam van de technologiegigant zei dat het de activiteit onder meerdere clusters volgt, waaronder UNC6661, UNC6671 en UNC6240 (ook bekend als ShinyHunters), om rekening te houden met de mogelijkheid dat deze groepen hun modus operandi zouden kunnen ontwikkelen of eerder waargenomen tactieken zouden kunnen nabootsen.
“Hoewel deze methodologie om identiteitsproviders en SaaS-platforms te targeten consistent is met onze eerdere observaties van bedreigingsactiviteiten voorafgaand aan afpersing onder het merk ShinyHunters, blijft de reikwijdte van gerichte cloudplatforms zich uitbreiden naarmate deze bedreigingsactoren op zoek gaan naar gevoeligere gegevens voor afpersing”, aldus Mandiant.
“Bovendien lijken ze hun afpersingstactieken te escaleren met recente incidenten, waaronder onder meer intimidatie van slachtofferpersoneel.”
Details van de vishing- en identiteitsdiefstalactiviteit zijn als volgt:
- Er is waargenomen dat UNC6661 zich voordeed als IT-personeel bij telefoontjes naar medewerkers van gerichte slachtofferorganisaties en hen doorverwees naar links voor het verzamelen van inloggegevens onder het mom van de opdracht om hun multi-factor authenticatie (MFA)-instellingen bij te werken. De activiteit werd geregistreerd tussen begin en half januari 2026.
- De gestolen inloggegevens worden vervolgens gebruikt om hun eigen apparaat te registreren voor MFA en vervolgens zijdelings over het netwerk te bewegen om gegevens van SaaS-platforms te exfiltreren. In ten minste één geval heeft de bedreigingsacteur hun toegang tot gecompromitteerde e-mailaccounts bewapend om meer phishing-e-mails te sturen naar contacten bij op cryptocurrency gerichte bedrijven. De e-mails werden vervolgens verwijderd om de sporen te verdoezelen. Dit wordt gevolgd door afpersingsactiviteiten uitgevoerd door UNC6240.
- Sinds begin januari 2026 is bekend dat UNC6671 zich voordoet als IT-personeel om slachtoffers te misleiden als onderdeel van pogingen om hun inloggegevens en MFA-authenticatiecodes te verkrijgen op sites voor het verzamelen van inloggegevens van het slachtoffer. In ten minste enkele gevallen hebben de bedreigingsactoren toegang gekregen tot Okta-klantaccounts. UNC6671 heeft PowerShell ook gebruikt om gevoelige gegevens van SharePoint en OneDrive te downloaden.
- De verschillen tussen UNC6661 en UNC6671 hebben betrekking op het gebruik van verschillende domeinregistreerders voor het registreren van de domeinen voor het verzamelen van inloggegevens (NICENIC voor UNC6661 en Tucows voor UNC6671), evenals het feit dat een afpersings-e-mail die werd verzonden na UNC6671-activiteit niet overlapte met bekende UNC6240-indicatoren.
- Dit geeft aan dat er mogelijk verschillende groepen mensen bij betrokken zijn, wat het amorfe karakter van deze cybercriminaliteitsgroepen illustreert. Bovendien suggereert het targeten van cryptocurrency-bedrijven dat de dreigingsactoren mogelijk ook op zoek zijn naar verdere mogelijkheden voor financieel gewin.
Om de dreiging voor SaaS-platforms tegen te gaan, heeft Google een lange lijst met aanbevelingen voor verharding, logboekregistratie en detectie opgesteld:
- Verbeter helpdeskprocessen, inclusief het eisen dat personeel een live videogesprek nodig heeft om hun identiteit te verifiëren
- Beperk de toegang tot vertrouwde uitgangspunten en fysieke locaties; sterke wachtwoorden afdwingen; en verwijder sms, telefoontje en e-mail als authenticatiemethoden
- Beperk de toegang op managementniveau, controleer op openbaar gemaakte geheimen en dwing controles op de toegang tot apparaten af
- Implementeer logboekregistratie om de zichtbaarheid van identiteitsacties, autorisaties en SaaS-exportgedrag te vergroten
- Detecteer MFA-apparaatinschrijving en veranderingen in de MFA-levenscyclus; zoek naar OAuth/app-autorisatiegebeurtenissen die wijzen op manipulatie van mailboxen met behulp van hulpprogramma’s zoals ToogleBox Email Recall, of identiteitsgebeurtenissen die plaatsvinden buiten de normale kantooruren
“Deze activiteit is niet het gevolg van een beveiligingsprobleem in de producten of infrastructuur van leveranciers”, aldus Google. “In plaats daarvan blijft het de effectiviteit van social engineering benadrukken en onderstreept het het belang van organisaties die waar mogelijk op weg zijn naar phishing-resistente MFA. Methoden zoals FIDO2-beveiligingssleutels of toegangscodes zijn bestand tegen social engineering op manieren die push-based of sms-authenticatie dat niet zijn.”
