UNC6040 Vishing Grubu

Siber güvenlik araştırmacıları, UNC6040 olarak tanımlanan ve sesli kimlik avı (vishing) kampanyalarında kendine bir yer edinmiş finansal olarak motive olmuş bir tehdit grubunu ortaya çıkardı. Bu saldırılar özellikle Salesforce ortamlarına sızmak, hassas verileri büyük ölçekte çalmak ve çalınan bilgileri gasp için kullanmak üzere tasarlanmıştır.

Tanıdık Bir Yüz: 'The Com' Siber Suç Kolektifine Bağlantılar

UNC6040'ın taktikleri ve davranışları, gevşek bir çevrimiçi siber suç ağı olan The Com ile bağları olduğunu gösteriyor. Grup ayrıca, BT destek kimliği taklitleri ve kimlik bilgisi hedeflemesiyle bilinen kolektifteki bir diğer aktör olan Scattered Spider ile operasyonel benzerlikler paylaşıyor. Ancak, nihai hedefleri farklı, Scattered Spider daha geniş bir erişim ararken, UNC6040 Salesforce verilerini sızdırmayı amaçlıyor.

Eylemde Taklit: Vishing Modus Operandi

Grubun başarısı, son derece ikna edici telefon tabanlı sosyal mühendislik kullanımından kaynaklanmaktadır. Genellikle akıcı İngilizce konuşan BT destek personeli gibi davranarak, UNC6040 operatörleri çalışanları kimlik bilgilerini teslim etmeye veya kurumsal sistemlere yetkisiz erişimi kolaylaştıran eylemler gerçekleştirmeye yönlendirebilmektedir.

Güveni İstismar Etmek: Değiştirilmiş Salesforce Veri Yükleyici Şeması

Göze çarpan taktiklerden biri, kurbanları Salesforce'un Veri Yükleyicisinin 'Bilet Portalım' gibi yanıltıcı isimler altında gizlenmiş değiştirilmiş bir sürümünü yetkilendirmeye ikna etmeyi içeriyor. Bu, saldırganların Salesforce'un bağlı uygulama arayüzüne erişmelerini ve bunu platform içinden büyük miktarda müşteri verisini çalmak için kullanmalarını sağlıyor.

Salesforce’un Ötesinde: Yatay Hareket ve Daha Geniş Kullanım

UNC6040 içeri girdiğinde Salesforce'ta durmaz. Saldırganlar ağ boyunca yatay olarak dönerek Okta, Workplace ve Microsoft 365 gibi diğer bulut platformlarından veri toplar. Bu, daha geniş bir uzlaşmayı mümkün kılar ve çalınan bilgilerin değerini artırır.

Gecikmeli Ödeme: Stratejik Gasp Taktikleri

İlginçtir ki, gasp girişimleri genellikle ilk uzlaşmadan aylar sonra geldi ve bu da kasıtlı, stratejik bir gecikmeye işaret ediyor. Bu taleplere bazen kötü şöhretli hack grubu ShinyHunters ile bağlantı iddiaları eşlik ediyor ve bu muhtemelen kurbanlar üzerindeki psikolojik baskıyı artırmayı amaçlayan bir hareket.

Recon First: Otomatik Telefon Gözetimi ile Desteklenen Vishing

UNC6040 ayrıca keşif toplamak için kayıtlı mesajlar ve menü seçenekleriyle otomatik telefon sistemlerinden yararlanır. Bu sistemler, iç destek numaralarını, genel çalışan sorunlarını, uygulama adlarını ve ikna edici vishing senaryoları oluşturmak için önemli bilgiler olan sistem uyarılarını ortaya çıkarır.

Uzaktan Çalışma Çağında Sosyal Mühendislik

Grup, çalışanların tanımadıkları destek personeliyle etkileşime girmeye alışkın olduğu uzaktan BT desteğine geçişten faydalanıyor. Bu ortam, özellikle kapsamlı keşifle birleştirildiğinde aldatıcı sosyal mühendislik için ideal koşullar yaratıyor.

Salesforce’un Yanıtı ve Müşteri Uyarıları

Salesforce, Mart 2025'te saldırıları kabul ederek müşterileri BT personelini taklit eden sosyal mühendislik kampanyaları konusunda uyardı. Saldırganlar, kullanıcıları kimlik avı sayfalarına çekiyor veya kötü amaçlı bağlı uygulamaları onaylamaları için login.salesforce[.]com/setup/connect adresine yönlendiriyor, genellikle aldatıcı markalama altında Data Loader'ın değiştirilmiş sürümleri.

Sistem Güvenlik Açığı Yok: İnsan Zayıflığından Yararlanma

Salesforce, bu olayların sistemlerindeki herhangi bir teknik güvenlik açığından değil, kullanıcı manipülasyonundan kaynaklandığını vurguladı. Saldırılar, bireysel farkındalığın ve siber güvenlik hijyeninin, özellikle sesli kimlik avı dolandırıcılıklarına karşı, kritik savunma hatları olmaya devam ettiğinin altını çiziyor.

Kalıcı Tehdit: Gelecek İçin Bir Uyarı

UNC6040 tarafından kullanılan taktikler, vishing'in kurumsal savunmaları ihlal etmek için oldukça etkili bir yöntem olmaya devam ettiğini gösteriyor. İlk erişim ile gasp arasındaki gecikme göz önüne alındığında, önümüzdeki haftalarda veya aylarda daha fazla kuruluş kendini risk altında bulabilir. Dikkat ve sağlam iç kontroller, bu gelişen tehdidi azaltmada anahtar rol oynayacaktır.