UNC6040 Vishing Group
Kiberbiztonsági kutatók lelepleztek egy pénzügyileg motivált fenyegetőcsoportot, az UNC6040-et, amely a hangalapú adathalász (vishing) kampányokban vívott ki magának egy piaci rést. Ezeket a támadásokat kifejezetten arra tervezték, hogy beszivárogjanak a Salesforce környezetekbe, nagy mennyiségben ellopják az érzékeny adatokat, és az ellopott információkat zsarolásra használják fel.
Tartalomjegyzék
Ismerős arc: Linkek a „The Com” kiberbűnözési kollektívához
Az UNC6040 taktikája és viselkedése a The Comhoz, egy laza online kiberbűnözői hálózathoz való kötődésre utal. A csoport működési hasonlóságokat mutat a Scattered Spiderrel is, egy másik szereplővel a közösségben, amely az informatikai támogatási tevékenységéről és a hitelesítő adatokkal való visszaéléséről ismert. Végső céljaik azonban eltérőek: a Scattered Spider szélesebb körű hozzáférést kíván elérni, míg az UNC6040 a Salesforce adatainak kiszivárgását célozza.
Megszemélyesítés a gyakorlatban: A Vising működési módja
A csoport sikere a rendkívül meggyőző telefonos alapú társadalmi manipuláció alkalmazásának köszönhető. Azzal, hogy IT-támogató személyzetnek adják ki magukat, akik gyakran folyékonyan beszélnek angolul, az UNC6040 operátorai manipulálni tudják az alkalmazottakat, hogy megadják hitelesítő adataikat, vagy olyan műveleteket hajtsanak végre, amelyek jogosulatlan hozzáférést tesznek lehetővé a vállalati rendszerekhez.
A bizalom kihasználása: A módosított Salesforce adatbetöltő séma
Egy kiemelkedő taktika az áldozatok meggyőzése a Salesforce Data Loader egy módosított verziójának engedélyezéséről, amelyet félrevezető nevek, például a „My Ticket Portal” mögé bújtanak. Ez lehetővé teszi a támadók számára, hogy hozzáférjenek a Salesforce csatlakoztatott alkalmazásfelületéhez, amelyet kihasználva hatalmas mennyiségű ügyféladatot lophatnak el a platformon belül.
A Salesforce-on túl: Oldalirányú mozgás és szélesebb körű kiaknázás
Miután bejutott a rendszerbe, az UNC6040 nem áll meg a Salesforce-nál. A támadók a hálózaton belül is elmozdulnak, és más felhőplatformokról, például az Oktáról, a Workplace-ről és a Microsoft 365-ről gyűjtenek adatokat. Ez szélesebb körű behatolást tesz lehetővé, és növeli az ellopott információk értékét.
Késleltetett kifizetés: Stratégiai zsarolási taktikák
Érdekes módon a zsarolási kísérletek gyakran hónapokkal a kezdeti kompromittálódás után történtek, ami szándékos, stratégiai késlekedésre utal. Ezeket a követeléseket néha a hírhedt ShinyHunters hackercsoporttal való kapcsolat állításai kísérik, ami valószínűleg az áldozatokra nehezedő pszichológiai nyomás fokozását célozza.
Recon First: Automatizált telefonmegfigyeléssel támogatott vizsga
Az UNC6040 automatizált telefonrendszereket is használ rögzített üzenetek és menüpontok segítségével az információk gyűjtéséhez. Ezek a rendszerek felfedik a belső támogatási számokat, a gyakori alkalmazotti problémákat, az alkalmazásneveket és a rendszerriasztásokat, amelyek kulcsfontosságú információk a meggyőző látogatási forgatókönyvek kidolgozásához.
Szociális manipuláció a távmunka korában
A csoport profitál a távoli IT-támogatásra való áttérésből, ahol az alkalmazottak hozzászoktak az ismeretlen támogató személyzettel való együttműködéshez. Ez a környezet ideális feltételeket teremt a megtévesztő társadalmi manipulációhoz, különösen, ha kiterjedt felderítéssel párosul.
A Salesforce válasza és az ügyfelek figyelmeztetései
A Salesforce 2025 márciusában elismerte a támadásokat, és figyelmeztette az ügyfeleket az informatikai személyzetnek kiadni szándékozó, pszichológiai manipulációval kapcsolatos kampányokra. A támadók adathalász oldalakra csábították a felhasználókat, vagy a login.salesforce[.]com/setup/connect oldalra irányították őket, hogy jóváhagyják a rosszindulatú, csatlakoztatott alkalmazásokat – jellemzően a Data Loader módosított verzióit megtévesztő márkajelzéssel.
Nincs rendszerbeli sebezhetőség: Az emberi gyengeség kihasználása
A Salesforce hangsúlyozta, hogy ezek az incidensek felhasználói manipulációból eredtek, nem pedig a rendszereik technikai sebezhetőségeiből. A támadások rávilágítanak arra, hogy az egyéni tudatosság és a kiberbiztonsági higiénia továbbra is kritikus védelmi vonal, különösen a hangalapú adathalász csalások ellen.
Állandó fenyegetés: Figyelmeztetés a jövőre nézve
Az UNC6040 által alkalmazott taktikák azt mutatják, hogy a zsarolás továbbra is rendkívül hatékony módszer a vállalati védelmi rendszerek feltörésére. Tekintettel a kezdeti hozzáférés és a zsarolás között eltelt időre, a következő hetekben vagy hónapokban több szervezet is veszélybe kerülhet. Az éberség és a szigorú belső ellenőrzés kulcsfontosságú lesz e folyamatosan változó fenyegetés enyhítésében.
