UNC6040 Vishing Group

محققان امنیت سایبری یک گروه تهدید با انگیزه مالی به نام UNC6040 را کشف کرده‌اند که در کمپین‌های فیشینگ صوتی (ویشینگ) جایگاه ویژه‌ای برای خود دست و پا کرده است. این حملات به‌طور خاص برای نفوذ به محیط‌های Salesforce، سرقت داده‌های حساس در مقیاس بزرگ و سوءاستفاده از اطلاعات سرقت‌شده برای اخاذی طراحی شده‌اند.

چهره‌ای آشنا: پیوندهایی به گروه جرایم سایبری «The Com»

تاکتیک‌ها و رفتارهای UNC6040 نشان می‌دهد که با The Com، یک شبکه‌ی جرایم سایبری آنلاینِ بی‌ثبات، ارتباط دارد. این گروه همچنین شباهت‌های عملیاتی با Scattered Spider، یکی دیگر از اعضای این گروه که به خاطر جعل هویت پشتیبانی فناوری اطلاعات و هدف قرار دادن اعتبارنامه‌ها شناخته می‌شود، دارد. با این حال، اهداف نهایی آنها متفاوت است، Scattered Spider به دنبال دسترسی گسترده‌تر است، در حالی که UNC6040 قصد دارد داده‌های Salesforce را استخراج کند.

جعل هویت در عمل: شیوه کار ویشینگ

موفقیت این گروه ناشی از استفاده از مهندسی اجتماعی بسیار متقاعدکننده مبتنی بر تلفن است. اپراتورهای UNC6040 با جا زدن خود به عنوان پرسنل پشتیبانی فناوری اطلاعات، که اغلب به زبان انگلیسی مسلط هستند، می‌توانند کارمندان را برای تحویل اعتبارنامه‌ها یا انجام اقداماتی که دسترسی غیرمجاز به سیستم‌های شرکتی را تسهیل می‌کند، فریب دهند.

سوءاستفاده از اعتماد: طرح اصلاح‌شده‌ی بارگذاری داده‌ی Salesforce

یک تاکتیک برجسته شامل متقاعد کردن قربانیان برای تأیید نسخه اصلاح‌شده‌ی Data Loader شرکت Salesforce است که تحت نام‌های گمراه‌کننده‌ای مانند «پورتال بلیط من» پنهان شده است. این به مهاجمان اجازه می‌دهد تا به رابط برنامه‌ی متصل Salesforce دسترسی پیدا کنند و از آن برای سرقت حجم زیادی از داده‌های مشتری از درون پلتفرم سوءاستفاده کنند.

فراتر از Salesforce: حرکت جانبی و بهره‌برداری گسترده‌تر

UNC6040 پس از ورود، به Salesforce محدود نمی‌شود. مهاجمان به صورت جانبی در سراسر شبکه حرکت می‌کنند و داده‌ها را از سایر پلتفرم‌های ابری مانند Okta، Workplace و Microsoft 365 جمع‌آوری می‌کنند. این امر امکان نفوذ گسترده‌تر را فراهم می‌کند و ارزش اطلاعات سرقت شده را افزایش می‌دهد.

تأخیر در پرداخت: تاکتیک‌های اخاذی استراتژیک

جالب اینجاست که تلاش‌های اخاذی اغلب ماه‌ها پس از افشای اولیه اطلاعات صورت گرفته است که نشان دهنده یک تأخیر عمدی و استراتژیک است. این درخواست‌ها گاهی با ادعاهایی مبنی بر وابستگی به گروه هکری بدنام ShinyHunters همراه است، اقدامی که احتمالاً با هدف تشدید فشار روانی بر قربانیان انجام می‌شود.

شناسایی اولیه: حملات ویشینگ با پشتیبانی نظارت خودکار تلفن

UNC6040 همچنین از سیستم‌های تلفن خودکار با پیام‌های ضبط‌شده و گزینه‌های منو برای جمع‌آوری اطلاعات شناسایی استفاده می‌کند. این سیستم‌ها شماره‌های پشتیبانی داخلی، مشکلات رایج کارمندان، نام برنامه‌ها و هشدارهای سیستم را فاش می‌کنند که اطلاعات حیاتی برای طراحی سناریوهای متقاعدکننده‌ی ویشینگ هستند.

مهندسی اجتماعی در عصر دورکاری

این گروه از تغییر به پشتیبانی فناوری اطلاعات از راه دور، جایی که کارمندان به تعامل با پرسنل پشتیبانی ناآشنا عادت دارند، سود می‌برد. این محیط، شرایط ایده‌آلی را برای مهندسی اجتماعی فریبنده ایجاد می‌کند، به خصوص هنگامی که با شناسایی گسترده همراه باشد.

پاسخ Salesforce و هشدارهای مشتری

Salesforce این حملات را در مارس ۲۰۲۵ تأیید کرد و به مشتریان در مورد کمپین‌های مهندسی اجتماعی که خود را به جای پرسنل فناوری اطلاعات جا می‌زنند، هشدار داد. مهاجمان کاربران را به صفحات فیشینگ فریب داده یا آنها را به login.salesforce[.]com/setup/connect هدایت می‌کردند تا برنامه‌های متصل مخرب را که معمولاً نسخه‌های اصلاح‌شده Data Loader تحت نام تجاری فریبنده هستند، تأیید کنند.

بدون آسیب‌پذیری سیستم: سوءاستفاده از ضعف انسانی

Salesforce تأکید کرد که این حوادث ناشی از دستکاری کاربر بوده است، نه هرگونه آسیب‌پذیری فنی در سیستم‌های آنها. این حملات تأکید می‌کند که چگونه آگاهی فردی و بهداشت سایبری همچنان خطوط دفاعی حیاتی، به ویژه در برابر کلاهبرداری‌های فیشینگ صوتی هستند.

تهدید مداوم: هشداری برای آینده

تاکتیک‌های به کار گرفته شده توسط UNC6040 نشان می‌دهد که ویشینگ همچنان روشی بسیار مؤثر برای نقض دفاع سازمانی است. با توجه به تأخیر بین دسترسی اولیه و اخاذی، سازمان‌های بیشتری ممکن است در هفته‌ها یا ماه‌های آینده خود را در معرض خطر ببینند. هوشیاری و کنترل‌های داخلی قوی، کلید کاهش این تهدید در حال تحول خواهد بود.