UNC6040 Apmeklētāju grupa
Kiberdrošības pētnieki ir atklājuši finansiāli motivētu apdraudējumu grupu, kas identificēta kā UNC6040 un ir izveidojusi nišu balss pikšķerēšanas (vishing) kampaņās. Šie uzbrukumi ir īpaši izstrādāti, lai iefiltrētos Salesforce vidē, plašā mērogā nozagtu sensitīvus datus un izmantotu nozagto informāciju izspiešanai.
Satura rādītājs
Pazīstama seja: saites uz kibernoziegumu kolektīvu “The Com”
UNC6040 taktika un uzvedība liecina par saistību ar The Com — vaļīgu tiešsaistes kibernoziegumu tīklu. Grupai ir arī operatīvas līdzības ar Scattered Spider — vēl vienu dalībnieku kolektīvā, kas pazīstams ar IT atbalsta dienestu personības nodošanu un akreditācijas datu izmantošanu mērķauditorijas atlasē. Tomēr viņu galvenie mērķi atšķiras — Scattered Spider vēlas plašāku piekļuvi, savukārt UNC6040 tiecas izgūt Salesforce datus.
Personības uzdošanās darbībā: Vishing Modus Operandi
Grupas panākumi izriet no ļoti pārliecinošas sociālās inženierijas izmantošanas pa tālruni. Izliekoties par IT atbalsta personālu, kas bieži vien brīvi pārvalda angļu valodu, UNC6040 operatori var manipulēt ar darbiniekiem, lai tie nodotu akreditācijas datus vai veiktu darbības, kas atvieglo nesankcionētu piekļuvi korporatīvajām sistēmām.
Uzticības izmantošana: modificētā Salesforce datu ielādes shēma
Izcila taktika ietver upuru pārliecināšanu autorizēt modificētu Salesforce Data Loader versiju, kas maskēta zem maldinošiem nosaukumiem, piemēram, “My Ticket Portal”. Tas ļauj uzbrucējiem iegūt piekļuvi Salesforce savienoto lietotņu saskarnei, ko viņi izmanto, lai nozagtu milzīgu apjomu klientu datu no platformas.
Ārpus Salesforce: sānu kustība un plašāka izmantošana
Kad UNC6040 ir iekļuvis tīklā, tas neapstājas pie Salesforce. Uzbrucēji darbojas horizontāli visā tīklā, vācot datus arī no citām mākoņplatformām, piemēram, Okta, Workplace un Microsoft 365. Tas nodrošina plašāku kompromitēšanu un palielina nozagtās informācijas vērtību.
Aizkavēta atmaksa: stratēģiska izspiešanas taktika
Interesanti, ka izspiešanas mēģinājumi bieži vien notiek vairākus mēnešus pēc sākotnējās informācijas vākšanas, kas liecina par apzinātu, stratēģisku kavēšanos. Šīm prasībām dažkārt pievienojas apgalvojumi par saistību ar bēdīgi slaveno hakeru grupu ShinyHunters, kas, visticamāk, ir vērsts uz psiholoģiskā spiediena pastiprināšanu uz upuriem.
Recon First: Vising, ko atbalsta automatizēta tālruņa novērošana
UNC6040 izmanto arī automatizētas tālruņu sistēmas ar ierakstītiem ziņojumiem un izvēlnes opcijām, lai apkopotu informāciju. Šīs sistēmas atklāj iekšējā atbalsta tālruņa numurus, bieži sastopamas darbinieku problēmas, lietojumprogrammu nosaukumus un sistēmas brīdinājumus, kas ir izšķiroša informācija pārliecinošu apmeklējumu scenāriju pielāgošanai.
Sociālā inženierija attālinātā darba laikmetā
Grupa gūst labumu no pārejas uz attālinātu IT atbalstu, kur darbinieki ir pieraduši sadarboties ar nepazīstamu atbalsta personālu. Šī vide rada ideālus apstākļus maldinošai sociālajai inženierijai, īpaši apvienojumā ar plašu izlūkošanu.
Salesforce atbilde un klientu brīdinājumi
Uzņēmums “Salesforce” atzina uzbrukumus 2025. gada martā, brīdinot klientus par sociālās inženierijas kampaņām, kas uzdodas par IT darbiniekiem. Uzbrucēji ir vilinājuši lietotājus uz pikšķerēšanas lapām vai novirzījuši viņus uz login.salesforce[.]com/setup/connect, lai apstiprinātu ļaunprātīgas savienotās lietotnes, kas parasti ir modificētas Data Loader versijas ar maldinošu zīmolu.
Sistēmas ievainojamības neesamība: cilvēka vājuma izmantošana
“Salesforce” uzsvēra, ka šie incidenti radušies lietotāju manipulāciju, nevis sistēmu tehnisku ievainojamību dēļ. Uzbrukumi uzsver, ka individuālā informētība un kiberdrošības higiēna joprojām ir kritiski svarīgas aizsardzības līnijas, īpaši pret balss pikšķerēšanas krāpniecību.
Pastāvīgs drauds: brīdinājums nākotnei
UNC6040 izmantotā taktika liecina, ka viltus datu izmantošana joprojām ir ļoti efektīva metode uzņēmumu aizsardzības sistēmu pārkāpšanai. Ņemot vērā laika sprīdi starp sākotnējo piekļuvi un izspiešanu, turpmākajās nedēļās vai mēnešos vairāk organizāciju varētu nonākt riska zonā. Modrība un stingra iekšējā kontrole būs galvenie faktori, lai mazinātu šo mainīgo apdraudējumu.
