קבוצת וישינג UNC6040
חוקרי אבטחת סייבר חשפו קבוצת איומים בעלת מוטיבציה כלכלית, שזוהתה כ-UNC6040, אשר יצרה לעצמה נישה בקמפיינים של פישינג קולי (וישינג). התקפות אלו תוכננו במיוחד כדי לחדור לסביבות Salesforce, לגנוב נתונים רגישים בקנה מידה גדול ולנצל את המידע הגנוב לסחיטה.
תוכן העניינים
פנים מוכרות: קישורים לקולקטיב פשעי הסייבר 'The Com'
הטקטיקות וההתנהגויות של UNC6040 מצביעות על קשרים ל-The Com, רשת פשעי סייבר מקוונת רופפת. לקבוצה יש גם קווי דמיון מבצעיים עם Scattered Spider, שחקן נוסף בקולקטיב הידוע בהתחזות לתמיכת IT ובמיקוד אישורים. עם זאת, מטרותיהם הסופיות שונות, כאשר Scattered Spider מבקשת גישה רחבה יותר, בעוד UNC6040 שואפת לחלץ נתוני Salesforce.
חיקוי בפעולה: אופן הפעולה של הוויזינג
הצלחת הקבוצה נובעת משימוש בהנדסה חברתית מבוססת טלפון משכנעת ביותר. על ידי התחזות לאנשי תמיכה טכנית, שלעתים קרובות דוברי אנגלית שוטפת, מפעילי UNC6040 מסוגלים לתמרן עובדים למסור אישורים או לבצע פעולות המאפשרות גישה בלתי מורשית למערכות הארגוניות.
ניצול אמון: תוכנית טוען הנתונים המותאמת של Salesforce
טקטיקה בולטת כוללת שכנוע קורבנות לאשר גרסה שונה של טוען הנתונים של Salesforce, במסווה של שמות מטעים כמו 'My Ticket Portal'. זה מאפשר לתוקפים לקבל גישה לממשק האפליקציה המחוברת של Salesforce, אותו הם מנצלים כדי לגנוב כמויות עצומות של נתוני לקוחות מתוך הפלטפורמה.
מעבר לסיילספורס: תנועה רוחבית וניצול רחב יותר
ברגע שהוא בפנים, UNC6040 לא עוצר בסיילספורס. התוקפים מסתובבים לרוחב הרשת, אוספים נתונים מפלטפורמות ענן אחרות כמו Okta, Workplace ו-Microsoft 365. זה מאפשר פגיעה רחבה יותר ומגדיל את ערך המידע הגנוב.
תשלום מושהה: טקטיקות סחיטה אסטרטגיות
מעניין לציין, ניסיונות סחיטה מגיעים לעתים קרובות חודשים לאחר הפשרה הראשונית, דבר המצביע על עיכוב אסטרטגי מכוון. דרישות אלו מלוות לעיתים בטענות על שייכות לקבוצת ההאקרים הידועה לשמצה ShinyHunters, צעד שכנראה נועד להגביר את הלחץ הפסיכולוגי על הקורבנות.
סיור ראשון: ויישינג מגובה על ידי מעקב טלפוני אוטומטי
UNC6040 גם ממנפת מערכות טלפון אוטומטיות עם הודעות מוקלטות ואפשרויות תפריט כדי לאסוף מידע מודיעיני. מערכות אלו חושפות מספרי תמיכה פנימיים, בעיות נפוצות של עובדים, שמות יישומים והתראות מערכת, מידע חיוני להתאמת תרחישי ויזה משכנעים.
הנדסה חברתית בעידן העבודה מרחוק
הקבוצה נהנית מהמעבר לתמיכת IT מרחוק, שבה העובדים רגילים לתקשר עם אנשי תמיכה לא מוכרים. סביבה זו יוצרת תנאים אידיאליים להנדסה חברתית מטעה, במיוחד בשילוב עם סיור נרחב.
תגובת Salesforce ואזהרות לקוחות
סיילספורס הודתה במתקפות במרץ 2025, והזהירה את לקוחותיה מפני קמפיינים של הנדסה חברתית המתחזים לאנשי IT. תוקפים פיתו משתמשים לדפי פישינג או כיוונו אותם לכתובת login.salesforce[.]com/setup/connect כדי לאשר אפליקציות מחוברות זדוניות, בדרך כלל גרסאות שעברו שינוי של Data Loader תחת מיתוג מטעה.
אין פגיעות מערכתית: ניצול חולשה אנושית
סיילספורס הדגישה כי אירועים אלה נבעו ממניפולציה של משתמשים, ולא מפגיעויות טכניות במערכות שלה. המתקפות מדגישות כיצד מודעות אישית והיגיינת אבטחת סייבר נותרות קווי הגנה קריטיים, במיוחד מפני הונאות פישינג קוליות.
איום מתמשך: אזהרה לעתיד
הטקטיקות בהן משתמש UNC6040 מראות כי וישינג (vising) נותרה שיטה יעילה ביותר לפריצת הגנות ארגוניות. בהתחשב בעיכוב בין הגישה הראשונית לסחיטה, ארגונים נוספים עלולים למצוא את עצמם בסיכון בשבועות או בחודשים הקרובים. ערנות ובקרות פנימיות חזקות יהיו המפתח להפחתת איום מתפתח זה.
