UNC6040 Vishing Group
Cybersikkerhedsforskere har afdækket en økonomisk motiveret trusselsgruppe, identificeret som UNC6040, som har skabt sig en niche inden for voice phishing (vishing)-kampagner. Disse angreb er specifikt designet til at infiltrere Salesforce-miljøer, stjæle følsomme data i stor skala og udnytte de stjålne oplysninger til afpresning.
Indholdsfortegnelse
Et velkendt ansigt: Links til 'The Com' Cybercrime Collective
UNC6040s taktikker og adfærd tyder på forbindelser til The Com, et løst online cyberkriminalitetsnetværk. Gruppen deler også operationelle ligheder med Scattered Spider, en anden aktør i kollektivet kendt for sin IT-supportefterligning og målretning af legitimationsoplysninger. Deres endelige mål er dog forskellige, hvor Scattered Spider søger bredere adgang, mens UNC6040 sigter mod at stjæle Salesforce-data.
Personificering i aktion: Vishing-modus operandi
Gruppens succes stammer fra dens brug af yderst overbevisende telefonbaseret social engineering. Ved at udgive sig for at være IT-supportpersonale, ofte flydende engelsktalende, er UNC6040-operatører i stand til at manipulere medarbejdere til at udlevere legitimationsoplysninger eller udføre handlinger, der letter uautoriseret adgang til virksomhedens systemer.
Udnyttelse af tillid: Den modificerede Salesforce Data Loader-ordning
En enestående taktik involverer at overbevise ofrene om at godkende en modificeret version af Salesforces Data Loader, forklædt under vildledende navne som 'My Ticket Portal'. Dette giver angribere adgang til Salesforces forbundne app-grænseflade, som de udnytter til at stjæle store mængder kundedata indefra platformen.
Ud over Salesforce: Lateral bevægelse og bredere udnyttelse
Når UNC6040 først er inde, stopper det ikke ved Salesforce. Angriberne bevæger sig sidelæns på tværs af netværket og indsamler data fra andre cloudplatforme som Okta, Workplace og Microsoft 365. Dette muliggør bredere kompromittering og øger værdien af de stjålne oplysninger.
Forsinket udbetaling: Strategiske afpresningstaktikker
Interessant nok er afpresningsforsøg ofte kommet måneder efter det oprindelige kompromis, hvilket indikerer en bevidst, strategisk forsinkelse. Disse krav ledsages undertiden af påstande om tilknytning til den berygtede hackergruppe ShinyHunters, et skridt der sandsynligvis har til formål at forstærke det psykologiske pres på ofrene.
Recon First: Vishing bakket op af automatiseret telefonovervågning
UNC6040 udnytter også automatiserede telefonsystemer med optagede beskeder og menupunkter til at indsamle efterretninger. Disse systemer afslører interne supportnumre, almindelige medarbejderproblemer, programnavne og systemadvarsler, hvilket er afgørende information til at skræddersy overbevisende vishingscenarier.
Social manipulation i fjernarbejdets tidsalder
Gruppen drager fordel af skiftet til fjernsupport af IT, hvor medarbejderne er vant til at interagere med ukendt supportpersonale. Dette miljø skaber ideelle betingelser for vildledende social engineering, især når det kombineres med omfattende rekognoscering.
Salesforces svar og kundeadvarsler
Salesforce anerkendte angrebene i marts 2025 og advarede kunder om social engineering-kampagner, der udgiver sig for at være IT-personale. Angribere har lokket brugere til phishing-sider eller henvist dem til login.salesforce[.]com/setup/connect for at godkende ondsindede forbundne apps, typisk modificerede versioner af Data Loader under vildledende branding.
Ingen systemsårbarhed: Udnyttelse af menneskelig svaghed
Salesforce understregede, at disse hændelser stammede fra brugermanipulation og ikke tekniske sårbarheder i deres systemer. Angrebene understreger, hvordan individuel bevidsthed og cybersikkerhedshygiejne fortsat er kritiske forsvarslinjer, især mod phishing-svindel med stemme.
Vedvarende trussel: En advarsel for fremtiden
De taktikker, der anvendes af UNC6040, viser, at "vishing" fortsat er en yderst effektiv metode til at bryde ind i virksomheders forsvar. I betragtning af forsinkelsen mellem den første adgang og afpresning kan flere organisationer være i fare i de kommende uger eller måneder. Årvågenhed og robuste interne kontroller vil være nøglen til at afbøde denne udviklende trussel.
