資安廠商發現,Scattered Lapsus$ Hunters駭客組織可能正利用冒充的客服請求或工單,對知名工單平臺Zendesk客戶發動網釣攻擊,11月Discord資料外洩事件可能也是這波攻擊的一環。
資安業者ReliaQuest發現40多個使用誤植名稱(typosquatted)和模仿Zendesk的網址,都是在近6個月內建立而成。這些變造過的冒牌網域像是znedesk[.]com、vpn-zendesk[.]com,有些代管了冒充Zendesk的單一簽入(SSO)釣魚網站,顯然是為了冒充合法Zendesk環境而設立。研究人員還發現到冒充Zendesk相關網域URL包含多個不同組織名稱或品牌,更容易誘使不察的用戶上鈎,並點擊連結。
這些冒牌網址的共同點,包括都經由NickNic域名註冊商註冊、註冊者使用美國和英國的聯絡資訊,且使用Cloudflare遮罩的名稱伺服器(nameserver),研究人員推斷是今年8月大肆攻擊Salesforce平臺的Scattered Lapsus$ Hunters。
他們發現證據,顯示假工單發送目的地是使用Zendesk平臺作為客服入口網站的合法企業組織。這些工單旨在鎖定技術支援或客服人員,以便透過釣魚網頁攻擊,以感染遠端存取木馬程式(remote access trojan, RAT)和其他惡意軟體。
資安業者指出,以上述手法攻擊help desk部門需要精心設計的文字能力,像是急救系統支援請求,或假的密碼重設申請等,才能騙取help desk提供用戶憑證,或是駭入其系統。而一旦攻擊者入侵客服人員系統,就可能引發災難性後果,像是在業者網路建立據點、在網路上橫向移動、偵察目標組織網,最終發動更大規模的系統攻擊。
這是Scattered Lapsus$ Hunters最新一次行動。9月這群駭客攻擊Discord的Zendesk支援行動,並竊取了超過550萬筆敏感用戶個資。那時資安業界還未意識到Discord事件是更廣泛Zendesk攻擊行動的一環,而這也顯示Scattered Lapsus$ Hunters又再用上了供應鏈攻擊策略。
而這群駭客似乎不會善罷干休。他們11月初在Telegram預告,在2026年可能還會再發動3、4次攻擊,且警告年底假期間,網管人員要留意流量log,因為他們要來蒐集客戶資料。
熱門新聞
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31
2025-12-31
2025-12-31