Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Fishing UNC6040 Vishing Group

UNC6040 Vishing Group

Nga MezoFishing
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një grup kërcënimesh të motivuar financiarisht, të identifikuar si UNC6040, i cili ka krijuar një vend të veçantë në fushatat e phishing-ut me zë (vishing). Këto sulme janë të dizajnuara posaçërisht për të depërtuar në mjediset e Salesforce, për të vjedhur të dhëna të ndjeshme në shkallë të gjerë dhe për të shfrytëzuar informacionin e vjedhur për zhvatje.

Një fytyrë e njohur: Lidhje me Kolektivin e Krimit Kibernetik 'The Com'

Taktikat dhe sjelljet e UNC6040 sugjerojnë lidhje me The Com, një rrjet të lirshëm të krimit kibernetik në internet. Grupi gjithashtu ndan ngjashmëri operacionale me Scattered Spider, një aktor tjetër në kolektiv i njohur për imitimin e mbështetjes së IT-së dhe shënjestrimin e kredencialeve. Megjithatë, qëllimet e tyre përfundimtare ndryshojnë, me Scattered Spider që kërkon akses më të gjerë, ndërsa UNC6040 synon të nxjerrë të dhënat e Salesforce.

Imitimi në Veprim: Mënyra e Veprimit të Vishingut

Suksesi i grupit rrjedh nga përdorimi i inxhinierisë sociale telefonike shumë bindëse. Duke u paraqitur si personel mbështetës i IT-së, shpesh folës të rrjedhshëm të anglishtes, operatorët e UNC6040 janë në gjendje t'i manipulojnë punonjësit që të dorëzojnë kredencialet ose të kryejnë veprime që lehtësojnë aksesin e paautorizuar në sistemet e korporatave.

Shfrytëzimi i Besimit: Skema e Modifikuar e Ngarkuesit të të Dhënave të Salesforce

Një taktikë e spikatur përfshin bindjen e viktimave për të autorizuar një version të modifikuar të Ngarkuesit të të Dhënave të Salesforce, të maskuar nën emra mashtrues si 'Portali Im i Ticket-eve'. Kjo u lejon sulmuesve të fitojnë akses në ndërfaqen e aplikacionit të lidhur të Salesforce, të cilën e shfrytëzojnë për të vjedhur sasi të mëdha të të dhënave të klientëve nga brenda platformës.

Përtej Salesforce: Lëvizje Laterale dhe Shfrytëzim më i Gjerë

Pasi hyn brenda, UNC6040 nuk ndalet vetëm te Salesforce. Sulmuesit lëvizin anash në rrjet, duke mbledhur të dhëna nga platforma të tjera cloud si Okta, Workplace dhe Microsoft 365. Kjo mundëson kompromentim më të gjerë dhe rrit vlerën e informacionit të vjedhur.

Pagesë e vonuar: Taktika strategjike zhvatjeje

Është interesante se përpjekjet për zhvatje shpesh kanë ndodhur muaj pas kompromisit fillestar, duke treguar një vonesë të qëllimshme dhe strategjike. Këto kërkesa ndonjëherë shoqërohen me pretendime për lidhje me grupin famëkeq të hakerave ShinyHunters, një veprim që ka të ngjarë të synojë amplifikimin e presionit psikologjik mbi viktimat.

Recon First: Vishing i mbështetur nga mbikëqyrja automatike e telefonave

UNC6040 gjithashtu shfrytëzon sisteme telefonike të automatizuara me mesazhe të regjistruara dhe opsione menuje për të mbledhur informacione. Këto sisteme zbulojnë numrat e mbështetjes së brendshme, problemet e zakonshme të punonjësve, emrat e aplikacioneve dhe alarmet e sistemit, informacione thelbësore për përshtatjen e skenarëve bindës të verifikimit.

Inxhinieria Sociale në Epokën e Punës në Distancë

Grupi përfiton nga kalimi në mbështetje të IT-së në distancë, ku punonjësit janë mësuar të angazhohen me personel mbështetës të panjohur. Ky mjedis krijon kushte ideale për inxhinieri sociale mashtruese, veçanërisht kur shoqërohet me zbulim të gjerë.

Përgjigja e Salesforce dhe Paralajmërimet e Klientëve

Salesforce i pranoi sulmet në mars të vitit 2025, duke i paralajmëruar klientët për fushatat e inxhinierisë sociale që imitonin personelin e IT-së. Sulmuesit i kanë joshur përdoruesit në faqet e phishing-ut ose i kanë drejtuar ata te login.salesforce[.]com/setup/connect për të miratuar aplikacione të lidhura keqdashëse, zakonisht versione të modifikuara të Data Loader nën markë mashtruese.

Mungesa e cenueshmërisë së sistemit: Shfrytëzimi i dobësisë njerëzore

Salesforce theksoi se këto incidente rrjedhin nga manipulimi i përdoruesit, jo nga ndonjë dobësi teknike në sistemet e tyre. Sulmet nënvizojnë se si ndërgjegjësimi individual dhe higjiena e sigurisë kibernetike mbeten linja kritike të mbrojtjes, veçanërisht kundër mashtrimeve zanore të phishing.

Kërcënim i vazhdueshëm: Një paralajmërim për të ardhmen

Taktikat e përdorura nga UNC6040 tregojnë se “vishing” mbetet një metodë shumë efektive për shkeljen e mbrojtjeve të ndërmarrjeve. Duke pasur parasysh vonesën midis aksesit fillestar dhe zhvatjes, më shumë organizata mund të gjenden në rrezik në javët ose muajt në vijim. Vigjilenca dhe kontrollet e brendshme të forta do të jenë thelbësore për zbutjen e këtij kërcënimi në zhvillim.

Në trend

Më e shikuara

Po ngarkohet...