Kumpulan Vishing UNC6040

Penyelidik keselamatan siber telah menemui kumpulan ancaman bermotifkan kewangan, yang dikenal pasti sebagai UNC6040, yang telah mengukir niche dalam kempen pancingan data suara (vishing). Serangan ini direka khusus untuk menyusup ke persekitaran Salesforce, mencuri data sensitif pada skala besar dan memanfaatkan maklumat yang dicuri untuk pemerasan.

Wajah Biasa: Pautan ke Kolektif Jenayah Siber 'The Com'

Taktik dan tingkah laku UNC6040 mencadangkan hubungan dengan The Com, rangkaian jenayah siber dalam talian yang longgar. Kumpulan itu juga berkongsi persamaan operasi dengan Scattered Spider, pelakon lain dalam kolektif yang terkenal dengan penyamaran sokongan IT dan penyasaran kelayakan. Walau bagaimanapun, matlamat akhir mereka berbeza, dengan Scattered Spider mencari akses yang lebih luas, manakala UNC6040 menyasarkan untuk mengekstrak data Salesforce.

Penyamaran dalam Tindakan: Modus Operandi Vishing

Kejayaan kumpulan itu berpunca daripada penggunaan kejuruteraan sosial berasaskan telefon yang sangat meyakinkan. Dengan menyamar sebagai kakitangan sokongan IT, selalunya fasih berbahasa Inggeris, pengendali UNC6040 dapat memanipulasi pekerja untuk menyerahkan bukti kelayakan atau melakukan tindakan yang memudahkan akses tanpa kebenaran kepada sistem korporat.

Memanfaatkan Amanah: Skim Pemuat Data Salesforce yang Diubahsuai

Taktik yang menonjol melibatkan meyakinkan mangsa untuk membenarkan versi Pemuat Data Salesforce yang diubah suai, yang menyamar di bawah nama yang mengelirukan seperti 'Portal Tiket Saya.' Ini membolehkan penyerang mendapat akses kepada antara muka aplikasi bersambung Salesforce, yang mereka eksploitasi untuk mencuri sejumlah besar data pelanggan dari dalam platform.

Beyond Salesforce: Pergerakan Sisi dan Eksploitasi Lebih Luas

Setelah masuk, UNC6040 tidak berhenti di Salesforce. Penyerang berputar ke sisi merentasi rangkaian, menuai data daripada platform awan lain seperti Okta, Workplace dan Microsoft 365. Ini membolehkan kompromi yang lebih luas dan meningkatkan nilai maklumat yang dicuri.

Bayaran Tertunda: Taktik Peras ugut Strategik

Menariknya, percubaan peras ugut sering berlaku beberapa bulan selepas kompromi awal, menunjukkan kelewatan strategik yang disengajakan. Tuntutan ini kadangkala disertai dengan dakwaan berkaitan dengan kumpulan penggodaman terkenal ShinyHunters, satu langkah yang mungkin bertujuan untuk menguatkan tekanan psikologi terhadap mangsa.

Recon First: Vishing Disokong oleh Pengawasan Telefon Automatik

UNC6040 juga memanfaatkan sistem telefon automatik dengan mesej rakaman dan pilihan menu untuk mengumpulkan peninjauan. Sistem ini mendedahkan nombor sokongan dalaman, isu pekerja biasa, nama aplikasi dan makluman sistem, intel penting untuk menyesuaikan senario yang meyakinkan.

Kejuruteraan Sosial di Zaman Kerja Jauh

Kumpulan ini mendapat manfaat daripada peralihan kepada sokongan IT jauh, di mana pekerja terbiasa berinteraksi dengan kakitangan sokongan yang tidak dikenali. Persekitaran ini mewujudkan keadaan yang ideal untuk kejuruteraan sosial yang menipu, terutamanya apabila dipasangkan dengan peninjauan yang meluas.

Maklum Balas Salesforce dan Amaran Pelanggan

Salesforce mengakui serangan itu pada Mac 2025, memberi amaran kepada pelanggan tentang kempen kejuruteraan sosial yang menyamar sebagai kakitangan IT. Penyerang telah memikat pengguna ke halaman pancingan data atau mengarahkan mereka untuk log masuk.salesforce[.]com/setup/connect untuk meluluskan apl bersambung yang berniat jahat, biasanya versi Pemuat Data yang diubah suai di bawah penjenamaan yang menipu.

Tiada Kerentanan Sistem: Mengeksploitasi Kelemahan Manusia

Salesforce menekankan bahawa insiden ini berpunca daripada manipulasi pengguna, bukan sebarang kelemahan teknikal dalam sistem mereka. Serangan itu menekankan bagaimana kesedaran individu dan kebersihan keselamatan siber kekal sebagai garis pertahanan kritikal, terutamanya terhadap penipuan pancingan data suara.

Ancaman Berterusan: Amaran untuk Masa Depan

Taktik yang digunakan oleh UNC6040 menunjukkan bahawa vishing kekal sebagai kaedah yang sangat berkesan untuk melanggar pertahanan perusahaan. Memandangkan kelewatan antara akses awal dan pemerasan, lebih banyak organisasi mungkin mendapati diri mereka berisiko dalam beberapa minggu atau bulan akan datang. Kewaspadaan dan kawalan dalaman yang teguh akan menjadi kunci untuk mengurangkan ancaman yang semakin berkembang ini.