UNC6040 Vishing Group
Výskumníci v oblasti kybernetickej bezpečnosti odhalili finančne motivovanú skupinu hrozby s označením UNC6040, ktorá si vydobyla miesto v hlasových phishingových (vishingových) kampaniach. Tieto útoky sú špeciálne navrhnuté tak, aby infiltrovali prostredia Salesforce, ukradli citlivé údaje vo veľkom rozsahu a zneužili ukradnuté informácie na vydieranie.
Obsah
Známa tvár: Odkazy na kolektív kyberkriminality „The Com“
Taktika a správanie UNC6040 naznačujú väzby na The Com, voľnú online sieť kyberkriminality. Skupina má tiež operačné podobnosti so Scattered Spider, ďalším aktérom v kolektíve známom pre svoje vydávanie sa za IT podporu a cielenie na poverenia. Ich konečné ciele sa však líšia, pričom Scattered Spider sa snaží o širší prístup, zatiaľ čo UNC6040 sa snaží získať údaje zo Salesforce.
Zosobnenie v praxi: Vishingov modus operandi
Úspech skupiny pramení z používania veľmi presvedčivého sociálneho inžinierstva prostredníctvom telefónu. Operátori UNC6040 sa vydávajú za pracovníkov IT podpory, často plynule hovoriacich po anglicky, a tak dokážu manipulovať so zamestnancami, aby odovzdali prihlasovacie údaje alebo vykonali akcie, ktoré uľahčujú neoprávnený prístup k podnikovým systémom.
Zneužívanie dôvery: Modifikovaná schéma načítavania údajov Salesforce
Výnimočná taktika spočíva v presviedčaní obetí, aby autorizovali upravenú verziu nástroja Data Loader od spoločnosti Salesforce, maskovaného pod zavádzajúcimi názvami ako „Môj portál lístkov“. To útočníkom umožňuje získať prístup k rozhraniu pripojenej aplikácie Salesforce, ktoré zneužívajú na krádež obrovského množstva údajov o zákazníkoch priamo z platformy.
Za hranicami Salesforce: Laterálny pohyb a širšie využívanie
Keď sa UNC6040 dostane dovnútra, nezastaví sa len pri Salesforce. Útočníci sa pohybujú po sieti a zhromažďujú údaje z iných cloudových platforiem, ako sú Okta, Workplace a Microsoft 365. To umožňuje širšie zneužitie a zvyšuje hodnotu ukradnutých informácií.
Oneskorená odmena: Strategické taktiky vydierania
Je zaujímavé, že pokusy o vydieranie často prichádzajú mesiace po prvotnom kompromitovaní, čo naznačuje úmyselné, strategické odkladanie. Tieto požiadavky sú niekedy sprevádzané tvrdeniami o spojení s neslávne známou hackerskou skupinou ShinyHunters, čo je krok, ktorý je pravdepodobne zameraný na zosilnenie psychologického tlaku na obete.
Prieskum na prvom mieste: Vishing podporený automatizovaným telefonickým sledovaním
UNC6040 tiež využíva automatizované telefónne systémy so zaznamenanými správami a možnosťami ponuky na zhromažďovanie informácií. Tieto systémy odhaľujú interné čísla podpory, bežné problémy zamestnancov, názvy aplikácií a systémové upozornenia, čo sú kľúčové informácie na prispôsobenie presvedčivých scenárov útokov.
Sociálne inžinierstvo v dobe práce na diaľku
Skupina profituje z prechodu na vzdialenú IT podporu, kde sú zamestnanci zvyknutí komunikovať s neznámym podporným personálom. Toto prostredie vytvára ideálne podmienky pre klamlivé sociálne inžinierstvo, najmä v spojení s rozsiahlym prieskumom.
Reakcia spoločnosti Salesforce a upozornenia zákazníkov
Spoločnosť Salesforce útoky potvrdila v marci 2025 a varovala zákazníkov pred kampaňami sociálneho inžinierstva, ktoré sa vydávajú za IT pracovníkov. Útočníci lákali používateľov na phishingové stránky alebo ich smerovali na login.salesforce[.]com/setup/connect, aby schválili škodlivé pripojené aplikácie, zvyčajne upravené verzie Data Loaderu pod klamlivou značkou.
Žiadna zraniteľnosť systému: Zneužívanie ľudskej slabosti
Spoločnosť Salesforce zdôraznila, že tieto incidenty pramenili z manipulácie používateľov, nie z technických zraniteľností v ich systémoch. Útoky zdôrazňujú, ako individuálne povedomie a hygiena kybernetickej bezpečnosti zostávajú kľúčovými obrannými líniami, najmä proti hlasovým phishingovým podvodom.
Pretrvávajúca hrozba: Varovanie do budúcnosti
Taktiky používané v dokumente UNC6040 ukazujú, že vydieranie zostáva vysoko účinnou metódou na narušenie obranyschopnosti podnikov. Vzhľadom na oneskorenie medzi prvým prístupom a vydieraním by sa v nasledujúcich týždňoch alebo mesiacoch mohlo ocitnúť v ohrození viac organizácií. Kľúčom k zmierneniu tejto vyvíjajúcej sa hrozby bude ostražitosť a robustné interné kontroly.
