Grupul Vishing UNC6040
Cercetătorii în domeniul securității cibernetice au descoperit un grup de amenințări motivate financiar, identificat drept UNC6040, care și-a creat o nișă în campaniile de phishing vocal (vishing). Aceste atacuri sunt special concepute pentru a se infiltra în mediile Salesforce, a fura date sensibile la scară largă și a utiliza informațiile furate pentru extorcare.
Cuprins
O față familiară: Legături cu colectivul de criminalitate cibernetică „The Com”
Tacticile și comportamentele UNC6040 sugerează legături cu The Com, o rețea de criminalitate cibernetică online. Grupul are, de asemenea, asemănări operaționale cu Scattered Spider, un alt actor din colectiv cunoscut pentru uzurparea identității în domeniul asistenței IT și direcționarea către acreditări. Cu toate acestea, obiectivele lor finale diferă, Scattered Spider urmărind un acces mai larg, în timp ce UNC6040 își propune să exfiltreze datele Salesforce.
Imitarea de persoană în acțiune: Modus Operandi al Vishing-ului
Succesul grupului provine din utilizarea ingineriei sociale telefonice extrem de convingătoare. Dându-se drept personal de asistență IT, adesea vorbitori fluent de limba engleză, operatorii UNC6040 sunt capabili să manipuleze angajații pentru a le oferi acreditări sau a efectua acțiuni care facilitează accesul neautorizat la sistemele corporative.
Exploatarea încrederii: Schema modificată a încărcătoarei de date Salesforce
O tactică remarcabilă implică convingerea victimelor să autorizeze o versiune modificată a instrumentului Data Loader de la Salesforce, deghizată sub denumiri înșelătoare precum „Portalul meu pentru tichete”. Acest lucru permite atacatorilor să obțină acces la interfața aplicației conectate a Salesforce, pe care o exploatează pentru a fura cantități uriașe de date despre clienți din cadrul platformei.
Dincolo de Salesforce: Mișcare laterală și exploatare mai largă
Odată ajuns în interior, UNC6040 nu se oprește la Salesforce. Atacatorii pivotează lateral în rețea, colectând date de pe alte platforme cloud precum Okta, Workplace și Microsoft 365. Acest lucru permite compromiterea pe o scară mai largă și crește valoarea informațiilor furate.
Plată întârziată: Tactici strategice de extorcare
Interesant este că tentativele de extorcare au avut loc adesea la câteva luni după compromisul inițial, indicând o întârziere deliberată și strategică. Aceste cereri sunt uneori însoțite de afirmații de afiliere cu notoriul grup de hackeri ShinyHunters, o mișcare care probabil vizează amplificarea presiunii psihologice asupra victimelor.
Recon First: Vishing susținut de supraveghere telefonică automată
UNC6040 utilizează, de asemenea, sisteme telefonice automate cu mesaje înregistrate și opțiuni de meniu pentru a colecta informații. Aceste sisteme dezvăluie numere de telefon interne pentru asistență, probleme comune ale angajaților, nume de aplicații și alerte de sistem, informații cruciale pentru adaptarea unor scenarii convingătoare de tip „vishing”.
Ingineria socială în era muncii la distanță
Grupul beneficiază de trecerea la asistența IT la distanță, unde angajații sunt obișnuiți să interacționeze cu personal de asistență nefamiliar. Acest mediu creează condiții ideale pentru ingineria socială înșelătoare, mai ales atunci când este asociat cu o recunoaștere extinsă.
Răspunsul Salesforce și avertismentele pentru clienți
Salesforce a recunoscut atacurile în martie 2025, avertizând clienții despre campaniile de inginerie socială care se folosesc de personal IT. Atacatorii au atras utilizatorii către pagini de phishing sau i-au direcționat către login.salesforce[.]com/setup/connect pentru a aproba aplicații conectate rău intenționate, de obicei versiuni modificate ale Data Loader sub branding înșelător.
Nicio vulnerabilitate a sistemului: Exploatarea slăbiciunii umane
Salesforce a subliniat că aceste incidente au provenit din manipularea utilizatorilor, nu din vulnerabilități tehnice ale sistemelor lor. Atacurile subliniază modul în care conștientizarea individuală și igiena securității cibernetice rămân linii esențiale de apărare, în special împotriva escrocheriilor de tip phishing vocal.
Amenințare persistentă: un avertisment pentru viitor
Tacticile utilizate de UNC6040 arată că vishing-ul rămâne o metodă extrem de eficientă pentru încălcarea apărării întreprinderilor. Având în vedere întârzierea dintre accesul inițial și extorcare, mai multe organizații s-ar putea afla în pericol în următoarele săptămâni sau luni. Vigilența și controalele interne robuste vor fi esențiale pentru atenuarea acestei amenințări în evoluție.
