UNC6040 Вишинг група
Истраживачи сајбер безбедности открили су финансијски мотивисану претњу, идентификовану као UNC6040, која је издвојила своју нишу у кампањама гласовног фишинга (вишинга). Ови напади су посебно дизајнирани да инфилтрирају у окружења компаније Salesforce, украду осетљиве податке у великим размерама и искористе украдене информације за изнуду.
Преглед садржаја
Познато лице: Линкови до колектива за сајбер криминал „The Com“
Тактике и понашање UNC6040 указују на везе са The Com, лабавом мрежом за сајбер криминал на мрежи. Група такође дели оперативне сличности са Scattered Spider-ом, још једним актером у колективу познатим по лажном представљању као ИТ подршка и циљању акредитива. Међутим, њихови крајњи циљеви се разликују, при чему Scattered Spider тражи шири приступ, док UNC6040 има за циљ да извуче податке Salesforce-а.
Лажно представљање у акцији: Вишингов начин деловања
Успех групе произилази из коришћења веома убедљивог социјалног инжењеринга путем телефона. Представљајући се као ИТ особље за подршку, често течно говорећи енглески језик, оператери UNC6040 могу манипулисати запосленима да предају акредитиве или изврше радње које олакшавају неовлашћени приступ корпоративним системима.
Искоришћавање поверења: Модификована шема за учитавање података Salesforce-а
Истакнута тактика укључује убеђивање жртава да одобре модификовану верзију Salesforce-овог Data Loader-а, прикривеног обмањујућим називима попут „My Ticket Portal“. Ово омогућава нападачима да добију приступ повезаном интерфејсу апликације Salesforce-а, који користе за крађу огромних количина података о купцима унутар платформе.
Изван Salesforce-а: Латерално кретање и шира експлоатација
Једном када је унутра, UNC6040 се не зауставља само на Salesforce-у. Нападачи се крећу бочно кроз мрежу, прикупљајући податке са других cloud платформи као што су Okta, Workplace и Microsoft 365. Ово омогућава шире компромитовање и повећава вредност украдених информација.
Одложена исплата: Стратешке тактике изнуде
Занимљиво је да су покушаји изнуде често долазили месецима након почетног компромитовања, што указује на намерно, стратешко одлагање. Ове захтеве понекад прате тврдње о повезаности са озлоглашеном хакерском групом ShinyHunters, што је потез који је вероватно усмерен на појачавање психолошког притиска на жртве.
Извиђање прво: Вишинг уз помоћ аутоматизованог телефонског надзора
UNC6040 такође користи аутоматизоване телефонске системе са снимљеним порукама и опцијама менија за прикупљање података. Ови системи откривају интерне бројеве за подршку, уобичајене проблеме запослених, имена апликација и системска упозорења, кључне информације за прилагођавање убедљивих сценарија вишинга.
Социјални инжењеринг у доба рада на даљину
Група има користи од преласка на удаљену ИТ подршку, где су запослени навикли да комуницирају са непознатим особљем за подршку. Ово окружење ствара идеалне услове за обмањујући социјални инжењеринг, посебно када је упарено са опсежним извиђањем.
Одговор компаније Salesforce и упозорења за купце
Компанија Salesforce је признала нападе у марту 2025. године, упозоравајући купце на кампање социјалног инжењеринга које се лажно представљају као ИТ особље. Нападачи су мамили кориснике на фишинг странице или их усмеравали на login.salesforce[.]com/setup/connect како би одобрили злонамерне повезане апликације, обично модификоване верзије програма Data Loader под обмањујућим брендирањем.
Без системске рањивости: Искоришћавање људске слабости
Сејлсфорс је нагласио да су ови инциденти произашли из манипулације корисника, а не из техничких рањивости у њиховим системима. Напади истичу како индивидуална свест и хигијена сајбер безбедности остају кључне линије одбране, посебно против превара гласовним фишингом.
Упорна претња: Упозорење за будућност
Тактике које користи UNC6040 показују да вишинг остаје веома ефикасна метода за пробијање одбране предузећа. С обзиром на кашњење између почетног приступа и изнуде, више организација би се могло наћи у опасности у наредним недељама или месецима. Будност и робусне интерне контроле биће кључне за ублажавање ове еволуирајуће претње.
