Группа Вишинг UNC6040
Исследователи кибербезопасности обнаружили финансово мотивированную группу угроз, идентифицированную как UNC6040, которая заняла нишу в кампаниях голосового фишинга (вишинга). Эти атаки специально разработаны для проникновения в среду Salesforce, кражи конфиденциальных данных в больших масштабах и использования украденной информации для вымогательства.
Оглавление
Знакомое лицо: связи с киберпреступным сообществом «The Com»
Тактика и поведение UNC6040 указывают на связи с The Com, свободной сетью киберпреступности в Интернете. Группа также имеет операционные сходства с Scattered Spider, другим участником коллектива, известным своей имитацией ИТ-поддержки и нацеливанием на учетные данные. Однако их конечные цели различаются: Scattered Spider стремится к более широкому доступу, в то время как UNC6040 стремится извлечь данные Salesforce.
Олицетворение в действии: метод вишинга
Успех группы обусловлен использованием ею весьма убедительной телефонной социальной инженерии. Выдавая себя за сотрудников службы ИТ-поддержки, часто свободно говорящих по-английски, операторы UNC6040 способны манипулировать сотрудниками, заставляя их передавать учетные данные или выполнять действия, облегчающие несанкционированный доступ к корпоративным системам.
Использование доверия: модифицированная схема загрузчика данных Salesforce
Отличительная тактика заключается в убеждении жертв авторизовать модифицированную версию Salesforce Data Loader, замаскированную под вводящими в заблуждение названиями, такими как «My Ticket Portal». Это позволяет злоумышленникам получить доступ к интерфейсу подключенного приложения Salesforce, который они используют для кражи огромных объемов данных клиентов с платформы.
За пределами Salesforce: горизонтальное движение и более широкое использование
Оказавшись внутри, UNC6040 не останавливается на Salesforce. Злоумышленники перемещаются по сети, собирая данные с других облачных платформ, таких как Okta, Workplace и Microsoft 365. Это позволяет расширить компрометацию и увеличивает ценность украденной информации.
Отсроченная выплата: тактика стратегического вымогательства
Интересно, что попытки вымогательства часто происходили через несколько месяцев после первоначального взлома, что указывает на преднамеренную стратегическую задержку. Эти требования иногда сопровождаются заявлениями о принадлежности к печально известной хакерской группе ShinyHunters, что, вероятно, направлено на усиление психологического давления на жертв.
Recon First: Vishing, подкрепленный автоматизированным телефонным наблюдением
UNC6040 также использует автоматизированные телефонные системы с записанными сообщениями и опциями меню для сбора разведданных. Эти системы раскрывают внутренние номера поддержки, общие проблемы сотрудников, названия приложений и системные оповещения, критически важные данные для разработки убедительных сценариев вишинга.
Социальная инженерия в эпоху удаленной работы
Группа выигрывает от перехода на удаленную ИТ-поддержку, где сотрудники привыкли взаимодействовать с незнакомым персоналом поддержки. Такая среда создает идеальные условия для обманной социальной инженерии, особенно в сочетании с обширной разведкой.
Ответ Salesforce и предупреждения для клиентов
Salesforce признала атаки в марте 2025 года, предупредив клиентов о кампаниях социальной инженерии, выдающих себя за сотрудников ИТ. Злоумышленники заманивали пользователей на фишинговые страницы или направляли их на login.salesforce[.]com/setup/connect для одобрения вредоносных подключенных приложений, как правило, модифицированных версий Data Loader под обманчивым брендом.
Отсутствие уязвимости системы: эксплуатация человеческой слабости
Salesforce подчеркнула, что эти инциденты возникли из-за манипуляций пользователей, а не технических уязвимостей в их системах. Атаки подчеркивают, что индивидуальная осведомленность и гигиена кибербезопасности остаются критически важными линиями защиты, особенно против голосового фишинга.
Постоянная угроза: предупреждение на будущее
Тактика, применяемая UNC6040, показывает, что вишинг остается высокоэффективным методом взлома защиты предприятий. Учитывая задержку между первоначальным доступом и вымогательством, в ближайшие недели или месяцы больше организаций могут оказаться под угрозой. Бдительность и надежный внутренний контроль будут иметь ключевое значение для смягчения этой развивающейся угрозы.
