Rabattoffert för flera licenser
Hotdatabas Nätfiske UNC6040 Vishing-gruppen

UNC6040 Vishing-gruppen

Med Mezo år Nätfiske
Översätt till:

Cybersäkerhetsforskare har avslöjat en ekonomiskt motiverad hotgrupp, identifierad som UNC6040, som har skapat en nisch inom röstnätfiskekampanjer (vishing). Dessa attacker är specifikt utformade för att infiltrera Salesforce-miljöer, stjäla känslig data i stor skala och utnyttja den stulna informationen för utpressning.

Ett välbekant ansikte: Länkar till 'The Com' Cyberbrottskollektivet

UNC6040:s taktik och beteenden tyder på kopplingar till The Com, ett löst nätverk för cyberbrottslighet online. Gruppen delar också operativa likheter med Scattered Spider, en annan aktör i kollektivet känd för sin IT-support-imitation och inriktning på autentiseringsuppgifter. Deras slutmål skiljer sig dock åt, där Scattered Spider söker bredare åtkomst, medan UNC6040 strävar efter att stjäla Salesforce-data.

Imitation i praktiken: Vishing-metoden

Gruppens framgångar härrör från deras användning av mycket övertygande telefonbaserad social ingenjörskonst. Genom att utge sig för att vara IT-supportpersonal, ofta flytande engelsktalande, kan UNC6040-operatörer manipulera anställda till att lämna ut inloggningsuppgifter eller utföra åtgärder som underlättar obehörig åtkomst till företagets system.

Utnyttja förtroende: Det modifierade Salesforce-datainläsningsschemat

En utmärkande taktik går ut på att övertyga offren att auktorisera en modifierad version av Salesforces Data Loader, förklädd under vilseledande namn som "My Ticket Portal". Detta gör det möjligt för angripare att få tillgång till Salesforces gränssnitt för anslutna appar, vilket de utnyttjar för att stjäla stora mängder kunddata inifrån plattformen.

Bortom Salesforce: Lateral rörelse och bredare utnyttjande

Väl inne i nätverket stannar UNC6040 inte vid Salesforce. Angriparna rör sig lateralt över nätverket och samlar in data från andra molnplattformar som Okta, Workplace och Microsoft 365. Detta möjliggör bredare kompromettering och ökar värdet på den stulna informationen.

Försenad utbetalning: Strategiska utpressningstaktik

Intressant nog har utpressningsförsök ofta kommit månader efter den initiala kompromissen, vilket tyder på en avsiktlig, strategisk försening. Dessa krav åtföljs ibland av påståenden om anknytning till den ökända hackergruppen ShinyHunters, ett drag som sannolikt syftar till att förstärka det psykologiska trycket på offren.

Recon First: Vishing stöds av automatiserad telefonövervakning

UNC6040 använder även automatiserade telefonsystem med inspelade meddelanden och menyalternativ för att samla in information. Dessa system avslöjar interna supportnummer, vanliga problem hos anställda, applikationsnamn och systemaviseringar, vilket är avgörande information för att skräddarsy övertygande scenarier med "vishing".

Social ingenjörskonst i distansarbetets tidsålder

Gruppen gynnas av övergången till IT-support på distans, där anställda är vana vid att interagera med obekant supportpersonal. Denna miljö skapar ideala förutsättningar för vilseledande social ingenjörskonst, särskilt i kombination med omfattande rekognoscering.

Salesforces svar och kundvarningar

Salesforce erkände attackerna i mars 2025 och varnade kunder för sociala ingenjörskampanjer som utger sig för att vara IT-personal. Angripare har lockat användare till nätfiskesidor eller hänvisat dem till login.salesforce[.]com/setup/connect för att godkänna skadliga anslutna appar, vanligtvis modifierade versioner av Data Loader under vilseledande varumärkesprofilering.

Ingen systemsårbarhet: Utnyttjande av mänsklig svaghet

Salesforce betonade att dessa incidenter härrörde från användarmanipulation, inte några tekniska sårbarheter i deras system. Attackerna understryker hur individuell medvetenhet och cybersäkerhetshygien fortfarande är viktiga försvarslinjer, särskilt mot röstnätfiskebedrägerier.

Ihållande hot: En varning för framtiden

De taktiker som används av UNC6040 visar att "vishing" fortfarande är en mycket effektiv metod för att bryta sig in i företagsförsvar. Med tanke på fördröjningen mellan initial åtkomst och utpressning kan fler organisationer hamna i riskzonen under de kommande veckorna eller månaderna. Vaksamhet och robusta interna kontroller kommer att vara nyckeln till att mildra detta ständigt föränderliga hot.

Trendigt

Mest sedda

Läser in...