UNC6040 Grupa Vishing
Badacze cyberbezpieczeństwa odkryli grupę zagrożeń o motywacji finansowej, zidentyfikowaną jako UNC6040, która wyrobiła sobie niszę w kampaniach phishingu głosowego (vishingu). Ataki te są specjalnie zaprojektowane, aby infiltrować środowiska Salesforce, kraść poufne dane na dużą skalę i wykorzystywać skradzione informacje do wymuszeń.
Spis treści
Znajoma twarz: powiązania z kolektywem cyberprzestępców „The Com”
Taktyka i zachowania UNC6040 sugerują powiązania z The Com, luźną internetową siecią cyberprzestępczą. Grupa ma również podobieństwa operacyjne ze Scattered Spider, innym aktorem w kolektywie znanym z podszywania się pod pomoc techniczną IT i atakowania poświadczeń. Jednak ich cele końcowe są różne, ponieważ Scattered Spider dąży do szerszego dostępu, podczas gdy UNC6040 ma na celu wykradanie danych Salesforce.
Podszywanie się w akcji: sposób działania Vishing
Sukces grupy wynika z wykorzystania przez nią wysoce przekonującej inżynierii społecznej opartej na telefonach. Podszywając się pod pracowników wsparcia IT, często biegle mówiących po angielsku, operatorzy UNC6040 są w stanie manipulować pracownikami, aby przekazywali poświadczenia lub wykonywali czynności ułatwiające nieautoryzowany dostęp do systemów korporacyjnych.
Wykorzystanie zaufania: zmodyfikowany schemat ładowania danych Salesforce
Najbardziej efektywna taktyka polega na przekonaniu ofiar do autoryzacji zmodyfikowanej wersji narzędzia Salesforce Data Loader, ukrytej pod mylącymi nazwami, takimi jak „Mój portal zgłoszeniowy”. Umożliwia to atakującym uzyskanie dostępu do interfejsu połączonej aplikacji Salesforce, który wykorzystują do kradzieży ogromnych ilości danych klientów z poziomu platformy.
Poza Salesforce: ruch boczny i szersze wykorzystanie
Po wejściu do środka UNC6040 nie zatrzymuje się na Salesforce. Atakujący przemieszczają się bocznie po sieci, zbierając dane z innych platform chmurowych, takich jak Okta, Workplace i Microsoft 365. Umożliwia to szersze zagrożenie i zwiększa wartość skradzionych informacji.
Opóźniona wypłata: strategiczne taktyki wymuszenia
Co ciekawe, próby wymuszenia często miały miejsce miesiące po pierwotnym kompromisie, co wskazuje na celowe, strategiczne opóźnienie. Te żądania są czasami obarczone roszczeniami o przynależność do niesławnej grupy hakerskiej ShinyHunters, co prawdopodobnie ma na celu zwiększenie presji psychologicznej na ofiary.
Recon First: Vishing wspierany przez zautomatyzowany nadzór telefoniczny
UNC6040 wykorzystuje również zautomatyzowane systemy telefoniczne z nagranymi wiadomościami i opcjami menu, aby zebrać informacje rozpoznawcze. Systemy te ujawniają wewnętrzne numery pomocy technicznej, typowe problemy pracowników, nazwy aplikacji i alerty systemowe, kluczowe informacje do dostosowywania przekonujących scenariuszy vishingu.
Inżynieria społeczna w dobie pracy zdalnej
Grupa korzysta z przejścia na zdalne wsparcie IT, gdzie pracownicy są przyzwyczajeni do współpracy z nieznanym personelem wsparcia. To środowisko stwarza idealne warunki do oszukańczej inżynierii społecznej, zwłaszcza w połączeniu z rozległym rozpoznaniem.
Odpowiedź Salesforce i ostrzeżenia klientów
Salesforce potwierdził ataki w marcu 2025 r., ostrzegając klientów przed kampaniami socjotechnicznymi podszywającymi się pod pracowników IT. Atakujący zwabiali użytkowników na strony phishingowe lub kierowali ich do login.salesforce[.]com/setup/connect, aby zatwierdzić złośliwe połączone aplikacje, zazwyczaj zmodyfikowane wersje Data Loader pod oszukańczym brandingiem.
Brak podatności systemu: wykorzystanie słabości człowieka
Salesforce podkreślił, że incydenty te wynikały z manipulacji użytkownikami, a nie z luk technicznych w ich systemach. Ataki podkreślają, jak świadomość jednostki i higiena cyberbezpieczeństwa pozostają krytycznymi liniami obrony, szczególnie przed oszustwami phishingowymi głosowymi.
Trwałe zagrożenie: ostrzeżenie na przyszłość
Taktyki stosowane przez UNC6040 pokazują, że vishing pozostaje wysoce skuteczną metodą naruszania zabezpieczeń przedsiębiorstwa. Biorąc pod uwagę opóźnienie między początkowym dostępem a wymuszeniem, więcej organizacji może znaleźć się w niebezpieczeństwie w nadchodzących tygodniach lub miesiącach. Czujność i solidne kontrole wewnętrzne będą kluczowe dla złagodzenia tego rozwijającego się zagrożenia.
