UNC6040 Skupina Vishing

Raziskovalci kibernetske varnosti so odkrili finančno motivirano skupino groženj, identificirano kot UNC6040, ki si je izoblikovala nišo v kampanjah glasovnega lažnega predstavljanja (vishing). Ti napadi so posebej zasnovani za infiltracijo v okolja Salesforce, krajo občutljivih podatkov v velikem obsegu in izkoriščanje ukradenih informacij za izsiljevanje.

Znan obraz: Povezave do skupine za kibernetsko kriminaliteto 'The Com'

Taktike in vedenje UNC6040 kažejo na povezave z The Com, ohlapno spletno mrežo za kibernetsko kriminaliteto. Skupina ima tudi operativne podobnosti s Scattered Spider, še enim akterjem v kolektivu, znanem po svojem lažnem predstavljanju za IT-podporo in ciljanju na poverilnice. Vendar pa se njihovi končni cilji razlikujejo, saj Scattered Spider išče širši dostop, medtem ko si UNC6040 prizadeva za izsiljevanje podatkov Salesforce.

Lažno predstavljanje v akciji: Vishingov način delovanja

Uspeh skupine izhaja iz uporabe zelo prepričljivega socialnega inženiringa prek telefona. Z izdajanjem za osebje za podporo IT, ki pogosto tekoče govori angleško, lahko operaterji UNC6040 manipulirajo z zaposlenimi, da jim predajo poverilnice ali izvedejo dejanja, ki omogočajo nepooblaščen dostop do korporativnih sistemov.

Izkoriščanje zaupanja: Spremenjena shema nalaganja podatkov Salesforce

Izstopajoča taktika vključuje prepričevanje žrtev, da avtorizirajo spremenjeno različico programa Salesforce Data Loader, prikrito pod zavajajočimi imeni, kot je »Moj portal za vstopnice«. To napadalcem omogoča dostop do povezanega vmesnika aplikacije Salesforce, ki ga izkoristijo za krajo ogromnih količin podatkov o strankah znotraj platforme.

Onkraj Salesforcea: Bočno gibanje in širše izkoriščanje

Ko je enkrat v omrežju, se UNC6040 ne ustavi le pri Salesforceu. Napadalci se premikajo po omrežju in zbirajo podatke iz drugih platform v oblaku, kot so Okta, Workplace in Microsoft 365. To omogoča širši vdor in povečuje vrednost ukradenih informacij.

Odloženo izplačilo: Strateške taktike izsiljevanja

Zanimivo je, da so se poskusi izsiljevanja pogosto zgodili mesece po začetni ogrožatvi, kar kaže na namerno, strateško odlašanje. Te zahteve včasih spremljajo trditve o povezanosti z zloglasno hekersko skupino ShinyHunters, kar je verjetno namenjeno krepitvi psihološkega pritiska na žrtve.

Recon First: Vishing, podprt z avtomatiziranim telefonskim nadzorom

UNC6040 uporablja tudi avtomatizirane telefonske sisteme s posnetimi sporočili in možnostmi menijev za zbiranje podatkov. Ti sistemi razkrivajo interne številke za podporo, pogoste težave zaposlenih, imena aplikacij in sistemska opozorila, ključne informacije za prilagajanje prepričljivih scenarijev napada.

Socialni inženiring v dobi dela na daljavo

Skupina ima koristi od prehoda na oddaljeno IT-podporo, kjer so zaposleni navajeni komunicirati z neznanim podpornim osebjem. Takšno okolje ustvarja idealne pogoje za zavajajoč socialni inženiring, zlasti v kombinaciji z obsežnim izvidovanjem.

Odziv Salesforcea in opozorila strank

Salesforce je napade priznal marca 2025 in stranke opozoril na kampanje socialnega inženiringa, ki se izdajajo za IT-osebje. Napadalci so uporabnike vabili na strani za lažno predstavljanje ali jih usmerjali na login.salesforce[.]com/setup/connect, da bi odobrili zlonamerne povezane aplikacije, običajno spremenjene različice programa Data Loader pod zavajajočo blagovno znamko.

Brez ranljivosti sistema: izkoriščanje človeške šibkosti

Salesforce je poudaril, da so ti incidenti posledica manipulacije uporabnikov in ne tehničnih ranljivosti v njihovih sistemih. Napadi poudarjajo, kako ozaveščanje posameznikov in higiena kibernetske varnosti ostajata ključni obrambni liniji, zlasti pred glasovnimi phishing prevarami.

Vztrajna grožnja: Opozorilo za prihodnost

Taktike, ki jih uporablja UNC6040, kažejo, da izsiljevanje ostaja zelo učinkovita metoda za kršitev obrambe podjetij. Glede na časovni zamik med začetnim dostopom in izsiljevanjem bi se lahko v prihodnjih tednih ali mesecih ogroženih znašlo še več organizacij. Budnost in robustne notranje kontrole bodo ključne za ublažitev te razvijajoče se grožnje.