Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Phishing UNC6040 Ομάδα Vishing

UNC6040 Ομάδα Vishing

Μέχρι το Mezo το Phishing
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια ομάδα απειλών με οικονομικά κίνητρα, η οποία προσδιορίζεται ως UNC6040, η οποία έχει δημιουργήσει μια θέση στις εκστρατείες φωνητικού ηλεκτρονικού "ψαρέματος" (phishing). Αυτές οι επιθέσεις έχουν σχεδιαστεί ειδικά για να διεισδύουν σε περιβάλλοντα Salesforce, να κλέβουν ευαίσθητα δεδομένα σε μεγάλη κλίμακα και να αξιοποιούν τις κλεμμένες πληροφορίες για εκβιασμούς.

Ένα Γνωστό Πρόσωπο: Σύνδεσμοι προς την Ομάδα Κυβερνοεγκλήματος «The Com»

Οι τακτικές και οι συμπεριφορές του UNC6040 υποδηλώνουν δεσμούς με το The Com, ένα χαλαρό διαδικτυακό δίκτυο κυβερνοεγκλήματος. Η ομάδα μοιράζεται επίσης λειτουργικές ομοιότητες με το Scattered Spider, έναν άλλο παράγοντα στην ομάδα που είναι γνωστός για την πλαστοπροσωπία υποστήριξης IT και τη στόχευση διαπιστευτηρίων. Ωστόσο, οι τελικοί στόχοι τους διαφέρουν, με το Scattered Spider να επιδιώκει ευρύτερη πρόσβαση, ενώ το UNC6040 στοχεύει στην κλοπή δεδομένων Salesforce.

Μίμηση σε Δράση: Ο Τρόπος Λειτουργίας του Vishing

Η επιτυχία της ομάδας πηγάζει από τη χρήση εξαιρετικά πειστικών τηλεφωνικών τεχνικών κοινωνικής μηχανικής. Παριστάνοντας το προσωπικό υποστήριξης IT, συχνά με άπταιστη γνώση της αγγλικής γλώσσας, οι χειριστές του UNC6040 είναι σε θέση να χειραγωγήσουν τους υπαλλήλους ώστε να παραδώσουν διαπιστευτήρια ή να εκτελέσουν ενέργειες που διευκολύνουν την μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα.

Αξιοποίηση της εμπιστοσύνης: Το τροποποιημένο σχήμα φόρτωσης δεδομένων Salesforce

Μια εξαιρετική τακτική περιλαμβάνει την πειστικότητα των θυμάτων να εγκρίνουν μια τροποποιημένη έκδοση του Data Loader της Salesforce, μεταμφιεσμένη με παραπλανητικά ονόματα όπως «My Ticket Portal». Αυτό επιτρέπει στους εισβολείς να αποκτήσουν πρόσβαση στη συνδεδεμένη διεπαφή εφαρμογής της Salesforce, την οποία εκμεταλλεύονται για να κλέψουν τεράστιες ποσότητες δεδομένων πελατών από την πλατφόρμα.

Πέρα από το Salesforce: Πλευρική Κίνηση και Ευρύτερη Εκμετάλλευση

Μόλις εισέλθει στο δίκτυο, το UNC6040 δεν σταματά στο Salesforce. Οι επιτιθέμενοι στρέφονται πλευρικά στο δίκτυο, συλλέγοντας δεδομένα από άλλες πλατφόρμες cloud όπως το Okta, το Workplace και το Microsoft 365. Αυτό επιτρέπει ευρύτερη παραβίαση και αυξάνει την αξία των κλεμμένων πληροφοριών.

Καθυστερημένη Πληρωμή: Στρατηγικές Τακτικές Εκβιασμού

Είναι ενδιαφέρον ότι οι απόπειρες εκβιασμού έχουν συχνά συμβεί μήνες μετά τον αρχικό συμβιβασμό, υποδεικνύοντας μια σκόπιμη, στρατηγική καθυστέρηση. Αυτές οι απαιτήσεις συνοδεύονται μερικές φορές από ισχυρισμούς περί σχέσης με την διαβόητη ομάδα χάκερ ShinyHunters, μια κίνηση που πιθανότατα στοχεύει στην ενίσχυση της ψυχολογικής πίεσης στα θύματα.

Recon First: Το Vishing υποστηρίζεται από αυτοματοποιημένη παρακολούθηση τηλεφώνων

Το UNC6040 αξιοποιεί επίσης αυτοματοποιημένα τηλεφωνικά συστήματα με ηχογραφημένα μηνύματα και επιλογές μενού για τη συλλογή πληροφοριών. Αυτά τα συστήματα αποκαλύπτουν εσωτερικούς αριθμούς υποστήριξης, συνηθισμένα προβλήματα των εργαζομένων, ονόματα εφαρμογών και ειδοποιήσεις συστήματος, κρίσιμες πληροφορίες για την προσαρμογή πειστικών σεναρίων παρακολούθησης.

Κοινωνική Μηχανική στην Εποχή της Εργασίας από Απόσταση

Η ομάδα επωφελείται από τη μετάβαση στην απομακρυσμένη υποστήριξη IT, όπου οι εργαζόμενοι είναι συνηθισμένοι να αλληλεπιδρούν με άγνωστο προσωπικό υποστήριξης. Αυτό το περιβάλλον δημιουργεί ιδανικές συνθήκες για παραπλανητική κοινωνική μηχανική, ειδικά όταν συνδυάζεται με εκτεταμένη αναγνώριση.

Απάντηση του Salesforce και προειδοποιήσεις πελατών

Η Salesforce αναγνώρισε τις επιθέσεις τον Μάρτιο του 2025, προειδοποιώντας τους πελάτες για καμπάνιες κοινωνικής μηχανικής που παρίσταναν προσωπικό IT. Οι εισβολείς παρασύρουν τους χρήστες σε σελίδες ηλεκτρονικού "ψαρέματος" (phishing) ή τους κατευθύνουν στη διεύθυνση login.salesforce[.]com/setup/connect για να εγκρίνουν κακόβουλες συνδεδεμένες εφαρμογές, συνήθως τροποποιημένες εκδόσεις του Data Loader με παραπλανητική επωνυμία.

Καμία ευπάθεια συστήματος: Εκμετάλλευση της ανθρώπινης αδυναμίας

Η Salesforce τόνισε ότι αυτά τα περιστατικά προήλθαν από χειραγώγηση χρηστών και όχι από τεχνικά τρωτά σημεία στα συστήματά της. Οι επιθέσεις υπογραμμίζουν πώς η ατομική ευαισθητοποίηση και η υγιεινή της κυβερνοασφάλειας παραμένουν κρίσιμες γραμμές άμυνας, ειδικά ενάντια στις απάτες φωνητικού ηλεκτρονικού «ψαρέματος» (phishing).

Επίμονη Απειλή: Μια Προειδοποίηση για το Μέλλον

Οι τακτικές που χρησιμοποιούνται από το UNC6040 δείχνουν ότι το vishing παραμένει μια εξαιρετικά αποτελεσματική μέθοδος για την παραβίαση των άμυνων των επιχειρήσεων. Δεδομένης της καθυστέρησης μεταξύ της αρχικής πρόσβασης και του εκβιασμού, περισσότεροι οργανισμοί θα μπορούσαν να βρεθούν σε κίνδυνο τις επόμενες εβδομάδες ή μήνες. Η επαγρύπνηση και οι ισχυροί εσωτερικοί έλεγχοι θα είναι το κλειδί για τον μετριασμό αυτής της εξελισσόμενης απειλής.

Τάσεις

Officialize.app

Κακόβουλο λογισμικό Mac, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Οι χρήστες πρέπει να παραμένουν σε εγρήγορση έναντι των Δυνητικά Ανεπιθύμητων Προγραμμάτων (PUPs), μιας κατηγορίας λογισμικού που μπορεί να φαίνεται ακίνδυνο, αλλά συχνά υπονομεύει την ασφάλεια του...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,158
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...