UNC6040 Vishing Group
Küberjulgeoleku uurijad on paljastanud rahaliselt motiveeritud ohugrupi UNC6040, mis on loonud endale niši häälõngitsuskampaaniates. Need rünnakud on spetsiaalselt loodud Salesforce'i keskkondadesse tungimiseks, tundlike andmete ulatuslikuks varastamiseks ja varastatud teabe ärakasutamiseks väljapressimiseks.
Sisukord
Tuttav nägu: lingid küberkuritegevuse kollektiivile „The Com”
UNC6040 taktika ja käitumine viitavad sidemetele The Comiga, mis on laiaulatuslik küberkuritegevuse võrgustik veebis. Grupeeringul on ka operatiivseid sarnasusi Scattered Spideriga, mis on samuti tuntud oma IT-toe isikuandmete võltsimise ja volituste sihtimise poolest. Nende lõppeesmärgid on aga erinevad: Scattered Spider soovib laiemat juurdepääsu, samas kui UNC6040 eesmärk on hankida Salesforce'i andmeid.
Kellegi teisena kehastamine tegevuses: Vishingu toimimisviis
Grupi edu tuleneb väga veenva telefonipõhise sotsiaalse manipuleerimise kasutamisest. IT-toetöötajatena esinedes, kes on sageli vabalt inglise keelt kõnelevad, saavad UNC6040 operaatorid manipuleerida töötajatega, et nad annaksid oma volitusi või teeksid toiminguid, mis hõlbustavad volitamata juurdepääsu ettevõtte süsteemidele.
Usalduse ärakasutamine: muudetud Salesforce’i andmelaaduri skeem
Silmapaistev taktika hõlmab ohvrite veenmist autoriseerima Salesforce'i andmelaaduri modifitseeritud versiooni, mis on maskeeritud eksitavate nimede, näiteks „Minu piletiportaal”, taha. See võimaldab ründajatel pääseda ligi Salesforce'i ühendatud rakenduste liidesele, mida nad kasutavad platvormilt suure hulga kliendiandmete varastamiseks.
Lisaks Salesforce’ile: külgmine liikumine ja laiem ärakasutamine
Kui UNC6040 on juba võrgus, ei peatu see ainult Salesforce'is. Ründajad liiguvad võrgus horisontaalselt, kogudes andmeid ka teistelt pilveplatvormidelt, nagu Okta, Workplace ja Microsoft 365. See võimaldab laiemat ohtu ja suurendab varastatud teabe väärtust.
Viivitatud tasumine: strateegilised väljapressimistaktikad
Huvitaval kombel on väljapressimiskatsed sageli aset leidnud kuid pärast esialgset ohtu seadmist, mis viitab tahtlikule strateegilisele viivitusele. Nendele nõudmistele kaasnevad mõnikord väited seotusest kurikuulsa häkkerigrupiga ShinyHunters, mille eesmärk on tõenäoliselt suurendada ohvritele avaldatavat psühholoogilist survet.
Recon First: automatiseeritud telefonijälgimisega toetatud visioon
UNC6040 kasutab teabe kogumiseks ka salvestatud sõnumite ja menüüvalikutega automatiseeritud telefonisüsteeme. Need süsteemid kuvavad sisemisi tugiteenuse numbreid, levinud töötajate probleeme, rakenduste nimesid ja süsteemihoiatusi, mis on veenvate visioonistsenaariumide koostamiseks ülioluline teave.
Sotsiaalne manipuleerimine kaugtöö ajastul
Grupp saab kasu üleminekust IT-toele kaugjuhtimise teel, kus töötajad on harjunud suhtlema võõraste tugipersonaliga. See keskkond loob ideaalsed tingimused petlikuks sotsiaalseks manipuleerimiseks, eriti kui see on ühendatud ulatusliku luurega.
Salesforce’i vastus ja klientide hoiatused
Salesforce tunnistas rünnakuid 2025. aasta märtsis, hoiatades kliente sotsiaalse manipuleerimise kampaaniate eest, mis teesklevad IT-töötajaid. Ründajad on meelitanud kasutajaid andmepüügilehtedele või suunanud neid aadressile login.salesforce[.]com/setup/connect, et heaks kiita pahatahtlikke ühendatud rakendusi, tavaliselt Data Loaderi muudetud versioone eksitava kaubamärgi all.
Süsteemi haavatavus puudub: inimliku nõrkuse ärakasutamine
Salesforce rõhutas, et need intsidendid tulenesid kasutajate manipuleerimisest, mitte nende süsteemide tehnilistest haavatavustest. Rünnakud näitavad, kuidas individuaalne teadlikkus ja küberturvalisuse hügieen on endiselt kriitilise tähtsusega kaitseliinid, eriti häälõngitsuspettuste vastu.
Püsiv oht: hoiatus tulevikuks
UNC6040 poolt kasutatavad taktikad näitavad, et väljapressimine on endiselt väga tõhus meetod ettevõtete kaitsemehhanismide rikkumiseks. Arvestades viivitust esialgse juurdepääsu ja väljapressimise vahel, võib lähikuudel rohkem organisatsioone end ohus leida. Valvsus ja tugev sisekontroll on selle areneva ohu leevendamisel võtmetähtsusega.
