UNC6040 Vishing Group
Výzkumníci v oblasti kybernetické bezpečnosti odhalili finančně motivovanou skupinu hrozeb s označením UNC6040, která si vydobyla své místo v phishingových (vishingových) kampaních. Tyto útoky jsou speciálně navrženy tak, aby infiltrovaly prostředí Salesforce, ve velkém měřítku odcizily citlivá data a zneužily ukradené informace k vydírání.
Obsah
Známá tvář: Odkazy na kyberkriminální kolektiv „The Com“
Taktika a chování UNC6040 naznačují vazby na The Com, volnou online síť kyberzločinců. Skupina má také společné operační postupy se Scattered Spider, dalším aktérem v kolektivu známém pro své vydávání se za IT podporu a cílení na přihlašovací údaje. Jejich konečné cíle se však liší, Scattered Spider usiluje o širší přístup, zatímco UNC6040 se snaží získat data Salesforce.
Zosobnění v akci: Vishingův modus operandi
Úspěch skupiny pramení z jejího používání velmi přesvědčivého sociálního inženýrství založeného na telefonním hovoru. Operátoři UNC6040 se vydávají za pracovníky IT podpory, často plynně mluvící anglicky, a tak jsou schopni manipulovat se zaměstnanci, aby jim předali přihlašovací údaje nebo provedli akce, které usnadňují neoprávněný přístup k podnikovým systémům.
Zneužívání důvěry: Upravené schéma zavaděče dat Salesforce
Výjimečná taktika spočívá v přesvědčování obětí k autorizaci upravené verze nástroje Data Loader od Salesforce, maskované pod zavádějícími názvy, jako je „Můj portál tiketů“. To útočníkům umožňuje získat přístup k propojenému rozhraní aplikace Salesforce, které zneužívají ke krádeži obrovského množství zákaznických dat přímo z platformy.
Za hranicemi Salesforce: Laterální pohyb a širší využití
Jakmile se UNC6040 dostane dovnitř, nezastaví se u Salesforce. Útočníci se pohybují po síti a shromažďují data z dalších cloudových platforem, jako jsou Okta, Workplace a Microsoft 365. To umožňuje širší kompromitaci a zvyšuje hodnotu ukradených informací.
Odložená výplata: Strategické vydírací taktiky
Je zajímavé, že k pokusům o vydírání často docházelo měsíce po počátečním prolomení, což naznačuje úmyslné a strategické zpoždění. Tyto požadavky jsou někdy doprovázeny tvrzeními o spojení s nechvalně známou hackerskou skupinou ShinyHunters, což je krok, který pravděpodobně směřuje k zesílení psychologického tlaku na oběti.
Recon First: Vishing podporovaný automatizovaným telefonním sledováním
UNC6040 také využívá automatizované telefonní systémy s nahranými zprávami a možnostmi nabídky k získávání informací. Tyto systémy odhalují interní čísla podpory, běžné problémy zaměstnanců, názvy aplikací a systémová upozornění, což jsou klíčové informace pro vytváření přesvědčivých scénářů útoků.
Sociální inženýrství ve věku práce na dálku
Skupina těží z přechodu na vzdálenou IT podporu, kde jsou zaměstnanci zvyklí komunikovat s neznámým podpůrným personálem. Toto prostředí vytváří ideální podmínky pro klamavé sociální inženýrství, zejména ve spojení s rozsáhlým průzkumem.
Reakce společnosti Salesforce a varování zákazníků
Společnost Salesforce útoky potvrdila v březnu 2025 a varovala zákazníky před kampaněmi sociálního inženýrství, které se vydávají za IT pracovníky. Útočníci lákali uživatele na phishingové stránky nebo je přesměrovávali na login.salesforce[.]com/setup/connect, aby schválili škodlivé propojené aplikace, obvykle upravené verze Data Loaderu pod klamavým brandingem.
Žádná zranitelnost systému: Využití lidské slabosti
Společnost Salesforce zdůraznila, že tyto incidenty pramenily z manipulace s uživateli, nikoli z technických zranitelností v jejich systémech. Útoky podtrhují, jak individuální povědomí a hygiena kybernetické bezpečnosti zůstávají klíčovými obrannými liniemi, zejména proti hlasovým phishingovým podvodům.
Trvalá hrozba: Varování do budoucna
Taktiky používané v dokumentu UNC6040 ukazují, že vishing zůstává vysoce účinnou metodou prolomení obranyschopnosti podniků. Vzhledem k prodlevě mezi prvním přístupem a vydíráním by se v nadcházejících týdnech nebo měsících mohlo ocitnout v ohrožení více organizací. Klíčem ke zmírnění této vyvíjející se hrozby bude ostražitost a robustní interní kontroly.
