Scattered Lapsus$猎手瞄准Zendesk用户

威胁情报公司ReliaQuest称，Scattered Lapsus$ Hunters组织可能正在针对Zendesk用户发起新的攻击活动。此前，安全研究人员新发现了一批钓鱼域名和恶意的帮助台工单。

该公司表示，在过去六个月内，发现了超过40个涉及不同组织名称或品牌的仿冒Zendesk域名和URL（例如 organization-zendesk.com）。像znedesk[.]com和vpn-zendesk[.]com这样的一些域名，托管着旨在窃取凭证的Zendesk单点登录（SSO）门户等钓鱼页面。

ReliaQuest观察到的所有域名均通过NiceNic注册，拥有美国和英国的注册人信息，并使用Cloudflare隐藏的域名服务器。“这些特征让人联想到Scattered Lapsus$ Hunters在2025年8月针对客户关系管理平台Salesforce发起的最近一次攻击活动，”ReliaQuest解释道。“我们在调查8月那次活动时发现的域名与这些Zendesk域名有相似之处：格式、注册表特征以及使用欺骗性SSO门户。”

该公司还声称有证据表明，该威胁组织正在向该SaaS客户服务平台（Zendesk）的客户运营的门户提交欺诈性工单。“这些伪造的提交旨在针对支持和帮助台人员，用远程访问木马（RAT）和其他类型的恶意软件感染他们。”“用此类策略针对帮助台团队通常涉及精心设计的借口，例如紧急的系统管理请求或伪造的密码重置询问。其目的是诱骗支持人员交出凭证或入侵其终端设备。”

Discord是首个受害者吗？

ReliaQuest称，在上个月Discord披露其通过第三方客户服务提供商遭遇入侵后，这次活动可能已有了第一个受害者。威胁行为者入侵了其基于Zendesk的支持系统，窃取了包括姓名、电子邮件地址、账单信息、IP地址和政府签发的身份证信息在内的用户数据。

针对Zendesk客户的这些攻击，发生在针对Salesforce、Salesloft Drift和Gainsight的攻击之后，ReliaQuest将这些平台描述为“被组织广泛采用并能访问下游客户数据的高价值SaaS平台”。然而，该公司也承认，针对Zendesk的活动也可能是模仿者组织所为。

这家安全供应商敦促各组织采取以下措施：

• 对所有的Zendesk管理和支持账户，要求使用带有硬件安全密钥的多因素认证（MFA），以及实施IP允许列表和会话超时策略。
• 进行域名监控和DNS过滤，以在仿冒Zendesk域名被用于钓鱼活动之前检测并阻止它们。
• 通过限制哪些员工可以通过Zendesk聊天接收直接消息，并部署内容过滤来识别钓鱼链接和凭证请求模式，来保护Zendesk聊天功能的安全。