UNC6040 Vishing Group
Istraživači kibernetičke sigurnosti otkrili su financijski motiviranu prijetnju, identificiranu kao UNC6040, koja je izgradila nišu u kampanjama glasovnog phishinga (vishinga). Ovi napadi su posebno osmišljeni za infiltraciju u Salesforce okruženja, krađu osjetljivih podataka u velikim razmjerima i iskorištavanje ukradenih informacija za iznudu.
Sadržaj
Poznato lice: Poveznice s kolektivom za kibernetički kriminal 'The Com'
Taktike i ponašanje UNC6040 ukazuju na veze s The Comom, labavom mrežom za kibernetički kriminal na internetu. Grupa također dijeli operativne sličnosti sa Scattered Spiderom, još jednim akterom u kolektivu poznatom po lažnom predstavljanju IT podrške i ciljanju vjerodajnica. Međutim, njihovi krajnji ciljevi se razlikuju, pri čemu Scattered Spider traži širi pristup, dok UNC6040 ima za cilj krađu podataka Salesforcea.
Lažno predstavljanje u akciji: Vishingov modus operandi
Uspjeh grupe proizlazi iz korištenja vrlo uvjerljivog telefonskog socijalnog inženjeringa. Predstavljajući se kao IT osoblje za podršku, često tečni govornici engleskog jezika, operateri UNC6040 mogu manipulirati zaposlenicima da predaju vjerodajnice ili izvrše radnje koje olakšavaju neovlašteni pristup korporativnim sustavima.
Iskorištavanje povjerenja: Modificirana shema učitavanja podataka Salesforcea
Istaknuta taktika uključuje uvjeravanje žrtava da autoriziraju modificiranu verziju Salesforceovog Data Loadera, prikrivenu zavaravajućim nazivima poput 'Moj portal za karte'. To napadačima omogućuje pristup povezanom sučelju aplikacije Salesforcea, koje iskorištavaju za krađu ogromnih količina podataka o kupcima unutar platforme.
Izvan Salesforcea: Lateralno kretanje i šira eksploatacija
Jednom kada je unutra, UNC6040 se ne zaustavlja na Salesforceu. Napadači se šire lateralno po mreži, prikupljajući podatke s drugih cloud platformi poput Okte, Workplacea i Microsofta 365. To omogućuje širu kompromitaciju i povećava vrijednost ukradenih informacija.
Odgođena isplata: Strateške taktike iznude
Zanimljivo je da su pokušaji iznude često dolazili mjesecima nakon početnog kompromitiranja, što ukazuje na namjerno, strateško odgađanje. Ove zahtjeve ponekad prate tvrdnje o povezanosti s ozloglašenom hakerskom skupinom ShinyHunters, potez koji je vjerojatno usmjeren na pojačavanje psihološkog pritiska na žrtve.
Izviđanje na prvom mjestu: Vishing uz pomoć automatiziranog telefonskog nadzora
UNC6040 također koristi automatizirane telefonske sustave sa snimljenim porukama i opcijama izbornika za prikupljanje podataka. Ovi sustavi otkrivaju interne brojeve podrške, uobičajene probleme zaposlenika, nazive aplikacija i upozorenja sustava, ključne informacije za prilagođavanje uvjerljivih scenarija napada.
Socijalni inženjering u doba rada na daljinu
Grupa ima koristi od prelaska na udaljenu IT podršku, gdje su zaposlenici navikli komunicirati s nepoznatim osobljem za podršku. Ovo okruženje stvara idealne uvjete za prijevarni socijalni inženjering, posebno kada je upareno s opsežnim izviđanjem.
Salesforceov odgovor i upozorenja za kupce
Salesforce je priznao napade u ožujku 2025., upozorivši kupce na kampanje socijalnog inženjeringa koje se lažno predstavljaju kao IT osoblje. Napadači su namamili korisnike na phishing stranice ili ih usmjeravali na login.salesforce[.]com/setup/connect kako bi odobrili zlonamjerne povezane aplikacije, obično modificirane verzije Data Loadera pod obmanjujućim brendiranjem.
Nema ranjivosti sustava: Iskorištavanje ljudske slabosti
Salesforce je naglasio da su ovi incidenti proizašli iz manipulacije korisnika, a ne iz tehničkih ranjivosti u njihovim sustavima. Napadi naglašavaju kako individualna svijest i higijena kibernetičke sigurnosti ostaju ključne linije obrane, posebno protiv glasovnih phishing prijevara.
Stalna prijetnja: Upozorenje za budućnost
Taktike koje koristi UNC6040 pokazuju da vishing ostaje vrlo učinkovita metoda za probijanje obrane poduzeća. S obzirom na kašnjenje između početnog pristupa i iznude, više organizacija moglo bi se naći u opasnosti u nadolazećim tjednima ili mjesecima. Budnost i robusne interne kontrole bit će ključne za ublažavanje ove rastuće prijetnje.
