UNC6040 Vishing-gruppen
Forskere innen nettsikkerhet har avdekket en økonomisk motivert trusselgruppe, identifisert som UNC6040, som har skapt en nisje innen talebasert phishing (vishing). Disse angrepene er spesielt utviklet for å infiltrere Salesforce-miljøer, stjele sensitive data i stor skala og utnytte den stjålne informasjonen til utpressing.
Innholdsfortegnelse
Et kjent ansikt: Lenker til «The Com»-kollektivet for nettkriminalitet
UNC6040s taktikk og oppførsel tyder på bånd til The Com, et løst nettbasert nettverk for nettkriminalitet. Gruppen deler også operative likheter med Scattered Spider, en annen aktør i kollektivet kjent for sin IT-støtteetterligning og målretting av legitimasjon. Deres endelige mål er imidlertid forskjellige, der Scattered Spider søker bredere tilgang, mens UNC6040 tar sikte på å stramme inn Salesforce-data.
Etterligning i aksjon: Vishing-modus operandi
Gruppens suksess stammer fra bruken av svært overbevisende telefonbasert sosial manipulering. Ved å utgi seg for å være IT-støttepersonell, ofte flytende engelsktalende, kan UNC6040-operatører manipulere ansatte til å utlevere legitimasjon eller utføre handlinger som legger til rette for uautorisert tilgang til bedriftssystemer.
Utnytte tillit: Den modifiserte Salesforce-datalasterordningen
En enestående taktikk innebærer å overbevise ofrene om å autorisere en modifisert versjon av Salesforces Data Loader, forkledd under misvisende navn som «My Ticket Portal». Dette lar angripere få tilgang til Salesforces grensesnitt for tilkoblede apper, som de utnytter til å stjele store mengder kundedata fra plattformen.
Utover Salesforce: Lateral bevegelse og bredere utnyttelse
Når UNC6040 først er inne, stopper det ikke ved Salesforce. Angriperne beveger seg sidelengs over nettverket og samler data fra andre skyplattformer som Okta, Workplace og Microsoft 365. Dette muliggjør bredere kompromittering og øker verdien av den stjålne informasjonen.
Forsinket utbetaling: Strategiske utpressingstaktikker
Interessant nok har utpressingsforsøk ofte kommet måneder etter det første kompromisset, noe som indikerer en bevisst, strategisk forsinkelse. Disse kravene er noen ganger ledsaget av påstander om tilknytning til den beryktede hackergruppen ShinyHunters, et trekk som sannsynligvis har som mål å forsterke det psykologiske presset på ofrene.
Recon First: Visjing støttet av automatisert telefonovervåking
UNC6040 benytter også automatiserte telefonsystemer med innspilte meldinger og menyalternativer for å samle inn rekognosering. Disse systemene avslører interne supportnumre, vanlige ansattes problemer, applikasjonsnavn og systemvarsler, som er viktig informasjon for å skreddersy overbevisende vishingscenarier.
Sosial manipulering i fjernarbeidets tidsalder
Gruppen drar nytte av overgangen til ekstern IT-støtte, der ansatte er vant til å samhandle med ukjent støttepersonell. Dette miljøet skaper ideelle forhold for villedende sosial manipulering, spesielt når det kombineres med omfattende rekognosering.
Salesforces svar og kundeadvarsler
Salesforce erkjente angrepene i mars 2025 og advarte kunder om sosial manipulering som utgir seg for å være IT-personell. Angripere har lokket brukere til phishing-sider eller henvist dem til login.salesforce[.]com/setup/connect for å godkjenne skadelige tilkoblede apper, vanligvis modifiserte versjoner av Data Loader under villedende merkevarebygging.
Ingen systemsårbarhet: Utnyttelse av menneskelig svakhet
Salesforce understreket at disse hendelsene stammet fra brukermanipulasjon, ikke tekniske sårbarheter i systemene deres. Angrepene understreker hvordan individuell bevissthet og nettsikkerhetshygiene fortsatt er kritiske forsvarslinjer, spesielt mot phishing-svindel med stemme.
Vedvarende trussel: En advarsel for fremtiden
Taktikkene som brukes av UNC6040 viser at «vishing» fortsatt er en svært effektiv metode for å bryte gjennom bedrifters forsvar. Gitt forsinkelsen mellom første tilgang og utpressing, kan flere organisasjoner bli utsatt for fare i løpet av de kommende ukene eller månedene. Årvåkenhet og robuste interne kontroller vil være nøkkelen til å redusere denne utviklende trusselen.
