UNC6040 Gruppo Vishing
I ricercatori di sicurezza informatica hanno scoperto un gruppo di minacce motivate da interessi economici, identificato come UNC6040, che si è ritagliato una nicchia nelle campagne di phishing vocale (vishing). Questi attacchi sono specificamente progettati per infiltrarsi negli ambienti Salesforce, rubare dati sensibili su larga scala e sfruttare le informazioni rubate a fini di estorsione.
Sommario
Un volto familiare: i collegamenti con il collettivo di criminalità informatica “The Com”
Le tattiche e i comportamenti di UNC6040 suggeriscono legami con The Com, una rete informatica online poco strutturata. Il gruppo condivide anche somiglianze operative con Scattered Spider, un altro attore del collettivo noto per la sua impersonificazione del supporto IT e il targeting delle credenziali. Tuttavia, i loro obiettivi finali sono diversi: Scattered Spider cerca un accesso più ampio, mentre UNC6040 mira a esfiltrare i dati di Salesforce.
L’impersonificazione in azione: il modus operandi del vishing
Il successo del gruppo deriva dall'utilizzo di tecniche di ingegneria sociale telefonica altamente convincenti. Fingendosi personale di supporto IT, spesso fluenti in inglese, gli operatori UNC6040 sono in grado di manipolare i dipendenti inducendoli a consegnare credenziali o a compiere azioni che facilitano l'accesso non autorizzato ai sistemi aziendali.
Sfruttare la fiducia: lo schema modificato del caricatore dati Salesforce
Una tattica particolarmente efficace consiste nel convincere le vittime ad autorizzare una versione modificata del Data Loader di Salesforce, mascherata da nomi fuorvianti come "My Ticket Portal". Questo consente agli aggressori di accedere all'interfaccia dell'app connessa di Salesforce, sfruttandola per rubare enormi quantità di dati dei clienti dall'interno della piattaforma.
Oltre Salesforce: movimento laterale e sfruttamento più ampio
Una volta all'interno, UNC6040 non si limita a Salesforce. Gli aggressori si muovono lateralmente attraverso la rete, raccogliendo dati da altre piattaforme cloud come Okta, Workplace e Microsoft 365. Questo consente una compromissione più ampia e aumenta il valore delle informazioni rubate.
Pagamento ritardato: tattiche di estorsione strategica
È interessante notare che i tentativi di estorsione sono spesso avvenuti mesi dopo la compromissione iniziale, a indicare un ritardo deliberato e strategico. Queste richieste sono talvolta accompagnate da dichiarazioni di affiliazione al famigerato gruppo di hacker ShinyHunters, una mossa probabilmente mirata ad amplificare la pressione psicologica sulle vittime.
Ricognizione prima: Vishing supportato dalla sorveglianza telefonica automatizzata
UNC6040 sfrutta anche sistemi telefonici automatizzati con messaggi registrati e opzioni di menu per raccogliere informazioni. Questi sistemi rivelano numeri di supporto interni, problemi comuni dei dipendenti, nomi di applicazioni e avvisi di sistema, informazioni cruciali per personalizzare scenari di vishing convincenti.
Ingegneria sociale nell’era del lavoro a distanza
Il gruppo trae vantaggio dal passaggio al supporto IT da remoto, dove i dipendenti sono abituati a interagire con personale di supporto non familiare. Questo ambiente crea le condizioni ideali per l'ingannevole ingegneria sociale, soprattutto se abbinato a un'ampia ricognizione.
Risposta di Salesforce e avvisi ai clienti
Salesforce ha riconosciuto gli attacchi a marzo 2025, avvisando i clienti delle campagne di ingegneria sociale che si spacciavano per personale IT. Gli aggressori hanno attirato gli utenti su pagine di phishing o li hanno indirizzati a login.salesforce[.]com/setup/connect per approvare app connesse dannose, in genere versioni modificate di Data Loader con un marchio ingannevole.
Nessuna vulnerabilità del sistema: sfruttare la debolezza umana
Salesforce ha sottolineato che questi incidenti sono derivati dalla manipolazione degli utenti e non da vulnerabilità tecniche nei propri sistemi. Gli attacchi sottolineano come la consapevolezza individuale e l'igiene della sicurezza informatica rimangano linee di difesa fondamentali, soprattutto contro le truffe di phishing vocale.
Minaccia persistente: un avvertimento per il futuro
Le tattiche impiegate da UNC6040 dimostrano che il vishing rimane un metodo altamente efficace per violare le difese aziendali. Dato il ritardo tra l'accesso iniziale e l'estorsione, un numero maggiore di organizzazioni potrebbe trovarsi a rischio nelle prossime settimane o mesi. Vigilanza e solidi controlli interni saranno fondamentali per mitigare questa minaccia in continua evoluzione.
