UNC6040 Vizingo grupė
Kibernetinio saugumo tyrėjai atskleidė finansiškai motyvuotą grėsmių grupę, identifikuotą kaip UNC6040, kuri išsikovojo nišą balso sukčiavimo (angl. visishing) kampanijose. Šios atakos yra specialiai sukurtos siekiant įsiskverbti į „Salesforce“ aplinką, dideliu mastu vogti jautrius duomenis ir panaudoti pavogtą informaciją šantažui.
Turinys
Pažįstamas veidas: nuorodos į „The Com“ kibernetinių nusikaltimų kolektyvą
UNC6040 taktika ir elgesys rodo ryšius su „The Com“ – laisvu internetinių kibernetinių nusikaltimų tinklu. Grupuotė taip pat turi veiklos panašumų su „Scattered Spider“ – kitu kolektyvo nariu, žinomu dėl IT palaikymo darbuotojų apsimetinėjimo ir prisijungimo duomenų panaudojimo. Tačiau jų galutiniai tikslai skiriasi: „Scattered Spider“ siekia platesnės prieigos, o UNC6040 – išfiltruoti „Salesforce“ duomenis.
Apsimetinimas veiksme: Visada veikiantis būdas
Grupės sėkmė kyla iš itin įtikinamos telefonu vykdomos socialinės inžinerijos. Apsimesdami IT palaikymo personalu, dažnai laisvai kalbančiu angliškai, UNC6040 operatoriai gali manipuliuoti darbuotojais, kad šie perduotų prisijungimo duomenis arba atliktų veiksmus, kurie palengvina neteisėtą prieigą prie įmonės sistemų.
Pasitikėjimo išnaudojimas: modifikuota „Salesforce“ duomenų įkėlimo schema
Išskirtinė taktika – įtikinti aukas autorizuoti modifikuotą „Salesforce“ duomenų įkėlimo įrankio versiją, užmaskuotą po klaidinančiais pavadinimais, tokiais kaip „Mano bilietų portalas“. Tai leidžia užpuolikams gauti prieigą prie „Salesforce“ prijungtos programėlės sąsajos, kurią jie išnaudoja pavogdami didelius kiekius klientų duomenų iš platformos.
Už „Salesforce“ ribų: šoninis judėjimas ir platesnis išnaudojimas
Patekęs į tinklą, UNC6040 neapsiriboja vien „Salesforce“. Užpuolikai veikia tinkle, rinkdami duomenis iš kitų debesijos platformų, tokių kaip „Okta“, „Workplace“ ir „Microsoft 365“. Tai leidžia plačiau įsilaužti ir padidina pavogtos informacijos vertę.
Uždelstas atsipirkimas: strateginė prievartavimo taktika
Įdomu tai, kad šantažavimo bandymai dažnai pasitaikydavo praėjus mėnesiams po pradinio kompromitavimo, o tai rodo sąmoningą, strateginį delsimą. Šie reikalavimai kartais lydimi teiginių apie ryšį su liūdnai pagarsėjusia įsilaužėlių grupe „ShinyHunters“ – tokiu žingsniu greičiausiai siekiama padidinti psichologinį spaudimą aukoms.
„Recon First“: vizijos, paremtos automatiniu telefonų stebėjimu
UNC6040 taip pat naudoja automatizuotas telefonų sistemas su įrašytais pranešimais ir meniu parinktimis, kad surinktų informaciją. Šios sistemos atskleidžia vidinius pagalbos numerius, dažniausiai pasitaikančias darbuotojų problemas, programų pavadinimus ir sistemos įspėjimus – tai labai svarbi informacija, padedanti parengti įtikinamus vizitų scenarijus.
Socialinė inžinerija nuotolinio darbo amžiuje
Grupei naudingas perėjimas prie nuotolinės IT pagalbos, kai darbuotojai yra įpratę bendrauti su nepažįstamais palaikymo darbuotojais. Tokia aplinka sukuria idealias sąlygas apgaulingai socialinei inžinerijai, ypač kai ji derinama su išsamia žvalgyba.
„Salesforce“ atsakymas ir klientų įspėjimai
„Salesforce“ pripažino išpuolius 2025 m. kovo mėn., įspėdama klientus apie socialinės inžinerijos kampanijas, kurių metu apsimetama IT darbuotojais. Užpuolikai vilioja vartotojus į sukčiavimo puslapius arba nukreipia juos į login.salesforce[.]com/setup/connect, kad patvirtintų kenkėjiškas prijungtas programas, dažniausiai modifikuotas „Data Loader“ versijas, turinčias apgaulingą prekės ženklo išvaizdą.
Sistemos pažeidžiamumo nebuvimas: išnaudojimas žmogaus silpnybių
„Salesforce“ pabrėžė, kad šie incidentai kilo dėl naudotojų manipuliavimo, o ne dėl techninių jų sistemų pažeidžiamumų. Šios atakos pabrėžia, kaip individualus sąmoningumas ir kibernetinio saugumo higiena išlieka svarbiomis gynybos linijomis, ypač nuo balso sukčiavimo atakų.
Nuolatinė grėsmė: įspėjimas ateičiai
UNC6040 taikoma taktika rodo, kad apgaulingas įsilaužimas išlieka labai veiksmingu metodu įmonių apsaugai pažeisti. Atsižvelgiant į laiko tarpą tarp pradinės prieigos ir turto prievartavimo, ateinančiomis savaitėmis ar mėnesiais daugiau organizacijų gali atsidurti pavojuje. Budrumas ir tvirta vidaus kontrolė bus pagrindiniai šios besivystančios grėsmės mažinimo veiksniai.
