UNC6040 วิชชิ่งกรุ๊ป
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยกลุ่มภัยคุกคามที่มีแรงจูงใจทางการเงิน ซึ่งระบุตัวตนได้ว่าคือ UNC6040 ซึ่งได้สร้างช่องทางในแคมเปญฟิชชิ่งด้วยเสียง (vishing) การโจมตีเหล่านี้ได้รับการออกแบบมาโดยเฉพาะเพื่อแทรกซึมเข้าไปในสภาพแวดล้อมของ Salesforce ขโมยข้อมูลสำคัญในระดับขนาดใหญ่ และใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่
สารบัญ
ใบหน้าที่คุ้นเคย: ลิงค์ไปยัง 'The Com' Cybercrime Collective
กลวิธีและพฤติกรรมของ UNC6040 ชี้ให้เห็นถึงความเชื่อมโยงกับ The Com ซึ่งเป็นเครือข่ายอาชญากรรมทางไซเบอร์ออนไลน์ที่ไม่เป็นทางการ นอกจากนี้ กลุ่มดังกล่าวยังมีความคล้ายคลึงกันในด้านการปฏิบัติการกับ Scattered Spider ซึ่งเป็นผู้มีบทบาทอีกรายในกลุ่มที่รู้จักกันในเรื่องการปลอมตัวเป็นผู้ให้การสนับสนุนด้านไอทีและการกำหนดเป้าหมายข้อมูลประจำตัว อย่างไรก็ตาม เป้าหมายสุดท้ายของพวกเขาแตกต่างกัน โดย Scattered Spider แสวงหาการเข้าถึงที่กว้างขึ้น ในขณะที่ UNC6040 มุ่งหมายที่จะขโมยข้อมูลของ Salesforce
การปลอมตัวในการปฏิบัติ: โหมดปฏิบัติการการหลอกลวง
ความสำเร็จของกลุ่มเกิดจากการใช้กลวิธีทางสังคมทางโทรศัพท์ที่น่าเชื่อถืออย่างยิ่ง เจ้าหน้าที่ฝ่ายสนับสนุนด้านไอทีซึ่งมักจะพูดภาษาอังกฤษได้คล่อง สามารถหลอกล่อพนักงานให้ส่งมอบข้อมูลประจำตัวหรือดำเนินการที่อำนวยความสะดวกในการเข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาตได้ โดยปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้านไอทีซึ่งมักจะพูดภาษาอังกฤษได้คล่อง
การใช้ประโยชน์จากความไว้วางใจ: แผนงาน Salesforce Data Loader ที่ได้รับการปรับปรุง
กลยุทธ์ที่โดดเด่นเกี่ยวข้องกับการโน้มน้าวเหยื่อให้ยินยอมให้ใช้เวอร์ชันดัดแปลงของ Data Loader ของ Salesforce ซึ่งปลอมตัวภายใต้ชื่อที่เข้าใจผิดได้ เช่น 'My Ticket Portal' วิธีนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซแอปที่เชื่อมต่อของ Salesforce ได้ ซึ่งพวกเขาใช้ประโยชน์เพื่อขโมยข้อมูลลูกค้าจำนวนมหาศาลจากภายในแพลตฟอร์ม
เหนือกว่า Salesforce: การเคลื่อนไหวในแนวขวางและการใช้ประโยชน์ที่กว้างขึ้น
เมื่อเข้าไปแล้ว UNC6040 จะไม่หยุดอยู่แค่ Salesforce เท่านั้น ผู้โจมตีจะเคลื่อนที่ไปรอบๆ เครือข่ายเพื่อรวบรวมข้อมูลจากแพลตฟอร์มคลาวด์อื่นๆ เช่น Okta, Workplace และ Microsoft 365 วิธีนี้ทำให้สามารถเจาะระบบได้กว้างขึ้นและเพิ่มมูลค่าของข้อมูลที่ถูกขโมยไป
การจ่ายเงินล่าช้า: กลยุทธ์การรีดไถเชิงกลยุทธ์
ที่น่าสนใจคือ ความพยายามรีดไถมักเกิดขึ้นหลายเดือนหลังจากการประนีประนอมเบื้องต้น ซึ่งบ่งชี้ถึงความล่าช้าโดยเจตนาและมีกลยุทธ์ บางครั้งข้อเรียกร้องเหล่านี้มักมาพร้อมกับการอ้างว่าเกี่ยวข้องกับกลุ่มแฮกเกอร์ชื่อดัง ShinyHunters ซึ่งการเคลื่อนไหวดังกล่าวน่าจะมีจุดมุ่งหมายเพื่อเพิ่มแรงกดดันทางจิตใจให้กับเหยื่อ
Recon First: การหลอกลวงทางโทรศัพท์ได้รับการสนับสนุนโดยระบบเฝ้าระวังโทรศัพท์อัตโนมัติ
UNC6040 ยังใช้ประโยชน์จากระบบโทรศัพท์อัตโนมัติพร้อมข้อความที่บันทึกไว้และตัวเลือกเมนูเพื่อรวบรวมข้อมูลการลาดตระเวน ระบบเหล่านี้เปิดเผยหมายเลขฝ่ายสนับสนุนภายใน ปัญหาทั่วไปของพนักงาน ชื่อแอปพลิเคชัน และการแจ้งเตือนของระบบ ซึ่งเป็นข้อมูลสำคัญสำหรับการปรับแต่งสถานการณ์การหลอกลวงทางโทรศัพท์ให้น่าเชื่อถือ
วิศวกรรมสังคมในยุคของการทำงานระยะไกล
กลุ่มนี้ได้รับประโยชน์จากการเปลี่ยนไปใช้การสนับสนุนไอทีระยะไกล ซึ่งพนักงานคุ้นเคยกับการติดต่อกับเจ้าหน้าที่สนับสนุนที่ไม่คุ้นเคย สภาพแวดล้อมนี้สร้างเงื่อนไขที่เหมาะสมสำหรับการจัดการทางสังคมที่หลอกลวง โดยเฉพาะอย่างยิ่งเมื่อจับคู่กับการลาดตระเวนอย่างกว้างขวาง
การตอบสนองและคำเตือนของลูกค้าของ Salesforce
Salesforce ยอมรับถึงการโจมตีดังกล่าวในเดือนมีนาคม 2025 โดยเตือนลูกค้าเกี่ยวกับแคมเปญทางวิศวกรรมสังคมที่แอบอ้างตัวเป็นเจ้าหน้าที่ฝ่ายไอที ผู้โจมตีล่อลวงผู้ใช้ไปยังหน้าฟิชชิ่งหรือแนะนำให้ผู้ใช้ไปที่ login.salesforce[.]com/setup/connect เพื่ออนุมัติแอปที่เชื่อมต่อที่เป็นอันตราย ซึ่งโดยทั่วไปแล้วจะเป็นเวอร์ชันที่ดัดแปลงของ Data Loader ภายใต้แบรนด์ที่หลอกลวง
ไม่มีช่องโหว่ของระบบ: การใช้ประโยชน์จากจุดอ่อนของมนุษย์
Salesforce เน้นย้ำว่าเหตุการณ์เหล่านี้เกิดจากการจัดการของผู้ใช้ ไม่ใช่จากช่องโหว่ทางเทคนิคในระบบ การโจมตีดังกล่าวเน้นย้ำว่าการตระหนักรู้ของแต่ละบุคคลและการรักษาความปลอดภัยของไซเบอร์ยังคงเป็นแนวป้องกันที่สำคัญ โดยเฉพาะการหลอกลวงทางเสียง
ภัยคุกคามที่คงอยู่: คำเตือนสำหรับอนาคต
กลวิธีที่ UNC6040 ใช้แสดงให้เห็นว่าการหลอกลวงทางอินเทอร์เน็ตยังคงเป็นวิธีการที่มีประสิทธิภาพสูงในการเจาะระบบป้องกันขององค์กร เมื่อพิจารณาจากความล่าช้าระหว่างการเข้าถึงเบื้องต้นและการกรรโชก องค์กรต่างๆ อาจพบว่าตนเองมีความเสี่ยงในอีกไม่กี่สัปดาห์หรือไม่กี่เดือนข้างหน้า การเฝ้าระวังและการควบคุมภายในที่เข้มงวดจะเป็นกุญแจสำคัญในการบรรเทาภัยคุกคามที่เปลี่ยนแปลงนี้
