Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing UNC6040 Vishing Groep

UNC6040 Vishing Groep

Tegen Mezo in Phishing
Vertalen naar:

Cybersecurityonderzoekers hebben een financieel gemotiveerde dreigingsgroep ontdekt, geïdentificeerd als UNC6040, die een niche heeft veroverd in voice phishing (vishing)-campagnes. Deze aanvallen zijn specifiek ontworpen om Salesforce-omgevingen te infiltreren, gevoelige gegevens op grote schaal te stelen en de gestolen informatie te gebruiken voor afpersing.

Een bekend gezicht: links naar cybercrimecollectief 'The Com'

De tactieken en het gedrag van UNC6040 suggereren banden met The Com, een los online cybercrimineel netwerk. De groep vertoont ook operationele overeenkomsten met Scattered Spider, een andere speler in het collectief dat bekendstaat om zijn imitatie van IT-ondersteuning en het targeten van inloggegevens. Hun einddoelen verschillen echter: Scattered Spider streeft naar bredere toegang, terwijl UNC6040 Salesforce-gegevens wil exfiltreren.

Imitatie in actie: de Vishing-modus operandi

Het succes van de groep is te danken aan het gebruik van zeer overtuigende telefonische social engineering. Door zich voor te doen als IT-ondersteuningspersoneel, vaak vloeiend Engels sprekend, kunnen UNC6040-operators medewerkers manipuleren om inloggegevens te overhandigen of handelingen uit te voeren die ongeautoriseerde toegang tot bedrijfssystemen mogelijk maken.

Vertrouwen exploiteren: het aangepaste Salesforce Data Loader-schema

Een opvallende tactiek is om slachtoffers ervan te overtuigen een aangepaste versie van Salesforce Data Loader te autoriseren, vermomd onder misleidende namen als 'My Ticket Portal'. Hiermee krijgen aanvallers toegang tot de interface van de verbonden app van Salesforce, die ze misbruiken om enorme hoeveelheden klantgegevens van het platform te stelen.

Verder dan Salesforce: laterale beweging en bredere exploitatie

Eenmaal binnen, stopt UNC6040 niet bij Salesforce. De aanvallers bewegen zich dwars door het netwerk en verzamelen gegevens van andere cloudplatforms zoals Okta, Workplace en Microsoft 365. Dit maakt een bredere inbreuk mogelijk en verhoogt de waarde van de gestolen informatie.

Uitgestelde afbetaling: strategische afpersingstactieken

Interessant genoeg vinden afpersingspogingen vaak maanden na de eerste aanval plaats, wat wijst op een opzettelijke, strategische vertraging. Deze eisen gaan soms gepaard met beweringen over banden met de beruchte hackersgroep ShinyHunters, een actie die waarschijnlijk bedoeld is om de psychologische druk op slachtoffers te vergroten.

Recon First: Vishing ondersteund door geautomatiseerde telefoonbewaking

UNC6040 maakt ook gebruik van geautomatiseerde telefoonsystemen met opgenomen berichten en menuopties om informatie te verzamelen. Deze systemen onthullen interne ondersteuningsnummers, veelvoorkomende problemen van medewerkers, applicatienamen en systeemmeldingen: cruciale informatie voor het opstellen van overtuigende vishing-scenario's.

Social engineering in het tijdperk van werken op afstand

De groep profiteert van de overstap naar IT-ondersteuning op afstand, waarbij medewerkers gewend zijn om met onbekend ondersteunend personeel te werken. Deze omgeving creëert ideale omstandigheden voor misleidende social engineering, vooral in combinatie met uitgebreide verkenning.

Reactie van Salesforce en waarschuwingen van klanten

Salesforce erkende de aanvallen in maart 2025 en waarschuwde klanten voor social engineeringcampagnes die zich voordoen als IT-personeel. Aanvallers lokken gebruikers naar phishingpagina's of verwijzen hen door naar login.salesforce[.]com/setup/connect om kwaadaardige gekoppelde apps goed te keuren, meestal aangepaste versies van Data Loader onder misleidende merknamen.

Geen systeemkwetsbaarheid: misbruik maken van menselijke zwakheden

Salesforce benadrukte dat deze incidenten voortkwamen uit gebruikersmanipulatie, niet uit technische kwetsbaarheden in hun systemen. De aanvallen onderstrepen hoe belangrijk individueel bewustzijn en cybersecurityhygiëne zijn als verdedigingslinie, met name tegen voicephishing.

Aanhoudende dreiging: een waarschuwing voor de toekomst

De tactieken die UNC6040 hanteert, tonen aan dat vishing een zeer effectieve methode blijft om de beveiliging van bedrijven te doorbreken. Gezien de vertraging tussen de eerste toegang en de afpersing, zouden meer organisaties de komende weken of maanden risico kunnen lopen. Waakzaamheid en robuuste interne controles zijn essentieel om deze evoluerende dreiging te beperken.

Trending

Meest bekeken

Bezig met laden...