UNC6040 Vishing Group
Natuklasan ng mga mananaliksik sa cybersecurity ang isang financially motivated threat group, na kinilala bilang UNC6040, na nag-ukit ng isang angkop na lugar sa mga voice phishing (vishing) campaign. Ang mga pag-atake na ito ay partikular na idinisenyo upang makalusot sa mga kapaligiran ng Salesforce, magnakaw ng sensitibong data sa sukat, at magamit ang ninakaw na impormasyon para sa pangingikil.
Talaan ng mga Nilalaman
Isang Pamilyar na Mukha: Mga Link sa 'The Com' Cybercrime Collective
Ang mga taktika at gawi ng UNC6040 ay nagmumungkahi ng kaugnayan sa The Com, isang maluwag na online na cybercrime network. Ang grupo ay nagbabahagi din ng mga pagkakatulad sa pagpapatakbo sa Scattered Spider, isa pang aktor sa kolektibong kilala sa IT support impersonation at credential targeting. Gayunpaman, iba-iba ang kanilang mga layunin sa pagtatapos, kung saan ang Scattered Spider ay naghahanap ng mas malawak na access, habang ang UNC6040 ay naglalayong i-exfiltrate ang data ng Salesforce.
Pagpapanggap sa Aksyon: The Vishing Modus Operandi
Ang tagumpay ng grupo ay nagmumula sa paggamit nito ng lubos na nakakumbinsi na social engineering na nakabatay sa telepono. Sa pagpapanggap bilang mga tauhan ng suporta sa IT, kadalasang matatas na nagsasalita ng Ingles, nagagawa ng mga operator ng UNC6040 na manipulahin ang mga empleyado sa pagbibigay ng mga kredensyal o pagsasagawa ng mga aksyon na nagpapadali sa hindi awtorisadong pag-access sa mga corporate system.
Pagsasamantala sa Tiwala: Ang Binagong Salesforce Data Loader Scheme
Kasama sa isang kakaibang taktika ang pagkumbinsi sa mga biktima na pahintulutan ang isang binagong bersyon ng Data Loader ng Salesforce, na nakatago sa ilalim ng mga mapanlinlang na pangalan tulad ng 'My Ticket Portal.' Nagbibigay-daan ito sa mga umaatake na magkaroon ng access sa konektadong interface ng app ng Salesforce, na kanilang pinagsamantalahan upang magnakaw ng napakaraming data ng customer mula sa loob ng platform.
Higit pa sa Salesforce: Lateral Movement at Mas Malapad na Pagsasamantala
Kapag nasa loob na, hindi tumitigil ang UNC6040 sa Salesforce. Ang mga umaatake ay nag-pivot sa gilid sa network, na kumukuha ng data mula sa iba pang mga cloud platform tulad ng Okta, Workplace, at Microsoft 365. Nagbibigay-daan ito sa mas malawak na kompromiso at pinatataas ang halaga ng ninakaw na impormasyon.
Naantalang Payoff: Mga Strategic Extortion Tactics
Kapansin-pansin, ang mga pagtatangka sa pangingikil ay madalas na dumarating ilang buwan pagkatapos ng paunang kompromiso, na nagpapahiwatig ng sinadya, madiskarteng pagkaantala. Ang mga kahilingang ito ay minsan ay sinasamahan ng mga pag-aangkin ng kaugnayan sa kilalang-kilalang grupo ng pag-hack na ShinyHunters, isang hakbang na malamang na naglalayong palakasin ang sikolohikal na presyon sa mga biktima.
Recon First: Vishing Backed by Automated Phone Surveillance
Ginagamit din ng UNC6040 ang mga automated na sistema ng telepono na may mga naka-record na mensahe at mga opsyon sa menu para mangalap ng reconnaissance. Ang mga system na ito ay nagpapakita ng mga panloob na numero ng suporta, karaniwang mga isyu ng empleyado, mga pangalan ng aplikasyon, at mga alerto sa system, mahalagang intel para sa pag-angkop ng mga nakakumbinsi na sitwasyon.
Social Engineering sa Panahon ng Malayong Trabaho
Ang grupo ay nakikinabang mula sa paglipat sa malayong suporta sa IT, kung saan ang mga empleyado ay nakasanayan na makipag-ugnayan sa mga hindi pamilyar na tauhan ng suporta. Lumilikha ang kapaligirang ito ng mga mainam na kondisyon para sa mapanlinlang na social engineering, lalo na kapag ipinares sa malawak na reconnaissance.
Tugon ng Salesforce at Mga Babala ng Customer
Kinilala ng Salesforce ang mga pag-atake noong Marso 2025, na nagbabala sa mga customer tungkol sa mga social engineering campaign na nagpapanggap bilang mga tauhan ng IT. Hinihikayat ng mga umaatake ang mga user sa mga pahina ng phishing o ididirekta sila sa pag-login.salesforce[.]com/setup/connect upang aprubahan ang mga nakakahamak na konektadong app, na karaniwang binagong mga bersyon ng Data Loader sa ilalim ng mapanlinlang na pagba-brand.
Walang System Vulnerability: Pagsasamantala sa Kahinaan ng Tao
Binigyang-diin ng Salesforce na ang mga insidenteng ito ay nagmula sa pagmamanipula ng user, hindi sa anumang teknikal na kahinaan sa kanilang mga system. Binibigyang-diin ng mga pag-atake kung paano nananatiling kritikal na linya ng depensa ang indibidwal na kamalayan at kalinisan sa cybersecurity, lalo na laban sa mga voice phishing scam.
Patuloy na Banta: Isang Babala para sa Kinabukasan
Ang mga taktika na ginamit ng UNC6040 ay nagpapakita na ang vishing ay nananatiling isang napaka-epektibong paraan para sa paglabag sa mga depensa ng enterprise. Dahil sa pagkaantala sa pagitan ng paunang pag-access at pangingikil, mas maraming organisasyon ang maaaring nasa panganib sa mga darating na linggo o buwan. Ang pagbabantay at matatag na mga panloob na kontrol ay magiging susi sa pag-iwas sa umuusbong na banta na ito.
