UNC6040 Вишинг Груп
Изследователи по киберсигурност разкриха финансово мотивирана група за атаки, идентифицирана като UNC6040, която си е изградила ниша в гласови фишинг (вишинг) кампании. Тези атаки са специално разработени за проникване в среди на Salesforce, кражба на чувствителни данни в голям мащаб и използване на открадната информация за изнудване.
Съдържание
Познато лице: Връзки към колектива за киберпрестъпления „The Com“
Тактиките и поведението на UNC6040 предполагат връзки с The Com, хлабава онлайн мрежа за киберпрестъпления. Групата споделя и оперативни сходства със Scattered Spider, друг участник в колектива, известен с представянето си за ИТ поддръжка и насочването към идентификационни данни. Крайните им цели обаче се различават, като Scattered Spider търси по-широк достъп, докато UNC6040 се стреми да открадне данни от Salesforce.
Представяне под чужда самоличност в действие: Начинът на действие на Вишинг
Успехът на групата произтича от използването на изключително убедително социално инженерство, базирано на телефонни разговори. Представяйки се за персонал по ИТ поддръжка, често владеещ свободно английски език, операторите на UNC6040 са в състояние да манипулират служителите да предадат идентификационни данни или да извършат действия, които улесняват неоторизиран достъп до корпоративните системи.
Използване на доверие: Модифицирана схема за зареждане на данни на Salesforce
Една от забележителните тактики е убеждаването на жертвите да оторизират модифицирана версия на Data Loader на Salesforce, прикрита под подвеждащи имена като „Моят портал за билети“. Това позволява на нападателите да получат достъп до свързания интерфейс на приложението на Salesforce, който използват, за да откраднат огромни количества клиентски данни от платформата.
Отвъд Salesforce: Латерално движение и по-широка експлоатация
Веднъж проникнали вътре, UNC6040 не спира само до Salesforce. Нападателите се придвижват странично през мрежата, събирайки данни от други облачни платформи като Okta, Workplace и Microsoft 365. Това позволява по-широко компрометиране и увеличава стойността на открадната информация.
Забавено изплащане: Стратегически тактики за изнудване
Интересното е, че опитите за изнудване често са се случвали месеци след първоначалното компрометиране, което показва умишлено, стратегическо забавяне. Тези искания понякога са съпроводени с твърдения за връзка с печално известната хакерска група ShinyHunters, ход, вероятно насочен към усилване на психологическия натиск върху жертвите.
Recon First: Вишинг, подкрепен от автоматизирано телефонно наблюдение
UNC6040 използва и автоматизирани телефонни системи със записани съобщения и опции от менюто, за да събира разузнавателна информация. Тези системи разкриват вътрешни номера за поддръжка, често срещани проблеми на служителите, имена на приложения и системни предупреждения – ключова информация за създаване на убедителни сценарии за вишинг.
Социално инженерство в ерата на дистанционната работа
Групата печели от преминаването към дистанционна ИТ поддръжка, където служителите са свикнали да общуват с непознат персонал за поддръжка. Тази среда създава идеални условия за измамно социално инженерство, особено когато е съчетана с обширно разузнаване.
Отговор на Salesforce и предупреждения за клиентите
Salesforce призна за атаките през март 2025 г., предупреждавайки клиентите си за кампании за социално инженерство, представящи се за ИТ персонал. Нападателите примамват потребители към фишинг страници или ги насочват към login.salesforce[.]com/setup/connect, за да одобрят злонамерени свързани приложения, обикновено модифицирани версии на Data Loader под подвеждащо брандиране.
Няма системна уязвимост: Използване на човешка слабост
Salesforce подчерта, че тези инциденти произтичат от манипулация от страна на потребителите, а не от технически уязвимости в техните системи. Атаките подчертават как индивидуалната осведоменост и хигиената на киберсигурността остават критични линии на защита, особено срещу гласови фишинг измами.
Постоянна заплаха: Предупреждение за бъдещето
Тактиките, използвани от UNC6040, показват, че вишингът остава високоефективен метод за пробиване на защитите на предприятията. Като се има предвид забавянето между първоначалния достъп и изнудването, повече организации биха могли да се окажат изложени на риск през следващите седмици или месеци. Бдителността и строгият вътрешен контрол ще бъдат ключови за смекчаване на тази развиваща се заплаха.
