UNC6040 Vising-ryhmä

Kyberturvallisuustutkijat ovat paljastaneet taloudellisesti motivoituneen uhkaryhmän, UNC6040:n, joka on luonut oman markkinarakonsa äänihuijauskampanjoissa. Nämä hyökkäykset on erityisesti suunniteltu tunkeutumaan Salesforce-ympäristöihin, varastamaan arkaluonteisia tietoja laajamittaisesti ja hyödyntämään varastettuja tietoja kiristykseen.

Tuttu kasvo: Linkkejä 'The Com' -kyberrikoskollektiiviin

UNC6040:n taktiikat ja toimintatavat viittaavat yhteyksiin The Comiin, löyhään verkkorikollisverkostoon. Ryhmällä on myös toiminnallisia yhtäläisyyksiä Scattered Spiderin kanssa, joka on toinen toimija kollektiivissa, joka tunnetaan IT-tuen henkilöllisyyden anastamisesta ja tunnistetietojen kohdistamisesta. Heidän lopputavoitteensa kuitenkin eroavat toisistaan: Scattered Spider pyrkii laajempaan pääsyyn, kun taas UNC6040 pyrkii vuotamaan Salesforce-dataa.

Toisen henkilön imitointi toiminnassa: Visingin toimintatapa

Ryhmän menestys perustuu sen erittäin vakuuttavaan puhelinpohjaiseen sosiaaliseen manipulointiin. Tekemällä IT-tukihenkilöstöä, joka usein puhuu sujuvasti englantia, UNC6040-operaattorit pystyvät manipuloimaan työntekijöitä luovuttamaan tunnistetietoja tai suorittamaan toimia, jotka mahdollistavat luvattoman pääsyn yrityksen järjestelmiin.

Luottamuksen hyödyntäminen: Muokattu Salesforce Data Loader -järjestelmä

Erottuva taktiikka sisältää uhrien suostuttelun valtuuttamaan Salesforcen Data Loaderin muokatun version, joka on naamioitu harhaanjohtavien nimien, kuten "My Ticket Portal", alle. Tämä antaa hyökkääjille pääsyn Salesforcen yhdistettyjen sovellusten käyttöliittymään, jota he hyödyntävät varastaakseen valtavia määriä asiakastietoja alustan sisältä.

Salesforcen tuolla puolen: Sivuttaisliike ja laajempi hyödyntäminen

Sisään päästyään UNC6040 ei pysähdy Salesforceen. Hyökkääjät siirtyvät verkon eri osiin ja keräävät tietoja muilta pilvialustoilta, kuten Oktalta, Workplacelta ja Microsoft 365:ltä. Tämä mahdollistaa laajemman tietomurron ja lisää varastettujen tietojen arvoa.

Viivästetty maksu: Strategiset kiristystaktiikat

Mielenkiintoista kyllä, kiristysyritykset ovat usein tapahtuneet kuukausia alkuperäisen tietomurron jälkeen, mikä viittaa tarkoitukselliseen, strategiseen viivytykseen. Näihin vaatimuksiin liittyy joskus väitteitä yhteyksistä pahamaineiseen hakkeriryhmään ShinyHunters, mikä todennäköisesti pyrkii lisäämään uhrien psykologista painetta.

Recon First: Vising automatisoidun puhelinvalvonnan tuella

UNC6040 hyödyntää myös automatisoituja puhelinjärjestelmiä, joissa on tallennettuja viestejä ja valikkovaihtoehtoja, kerätäkseen tietoa. Nämä järjestelmät paljastavat sisäiset tukinumerot, yleiset työntekijöiden ongelmat, sovellusten nimet ja järjestelmähälytykset, jotka ovat ratkaisevan tärkeitä tietoja vakuuttavien visio-skenaarioiden räätälöimiseksi.

Sosiaalinen manipulointi etätyön aikakaudella

Konserni hyötyy siirtymisestä etä-IT-tukeen, jossa työntekijät ovat tottuneet olemaan tekemisissä tuntemattoman tukihenkilöstön kanssa. Tämä ympäristö luo ihanteelliset olosuhteet harhaanjohtavalle sosiaaliselle manipuloinnille, erityisesti yhdistettynä laajaan tiedustelutoimintaan.

Salesforcen vastaus ja asiakasvaroitukset

Salesforce myönsi hyökkäykset maaliskuussa 2025 ja varoitti asiakkaita sosiaalisen manipuloinnin kampanjoista, joissa yritetään esiintyä IT-henkilöstönä. Hyökkääjät ovat houkutelleet käyttäjiä tietojenkalastelusivuille tai ohjanneet heidät osoitteeseen login.salesforce[.]com/setup/connect hyväksymään haitallisia yhdistettyjä sovelluksia, tyypillisesti Data Loaderin muokattuja versioita harhaanjohtavan brändäyksen alla.

Ei järjestelmän haavoittuvuutta: Ihmisen heikkouden hyödyntäminen

Salesforce korosti, että nämä tapaukset johtuivat käyttäjien manipuloinnista, eivätkä heidän järjestelmiensä teknisistä haavoittuvuuksista. Hyökkäykset korostavat sitä, kuinka yksilöiden tietoisuus ja kyberturvallisuus ovat edelleen kriittisiä puolustuslinjoja, erityisesti äänihuijauksia vastaan.

Jatkuva uhka: Varoitus tulevaisuudesta

UNC6040:n käyttämät taktiikat osoittavat, että visiointi on edelleen erittäin tehokas menetelmä yritysten puolustusjärjestelmien murtamiseen. Koska alkuperäisen pääsyn ja kiristyksen välillä on viive, useammat organisaatiot saattavat joutua vaaraan tulevina viikkoina tai kuukausina. Valppaus ja vankka sisäinen valvonta ovat avainasemassa tämän kehittyvän uhan lieventämisessä.