UNC6040 Група Вішинг
Дослідники з кібербезпеки виявили фінансово мотивовану групу зловмисників, ідентифіковану як UNC6040, яка зайняла свою нішу в кампаніях голосового фішингу (вішингу). Ці атаки спеціально розроблені для проникнення в середовища Salesforce, масштабного викрадення конфіденційних даних та використання викраденої інформації для вимагання.
Зміст
Знайоме обличчя: посилання на колектив кіберзлочинців «The Com»
Тактика та поведінка UNC6040 свідчать про зв'язки з The Com, вільною мережею онлайн-кіберзлочинності. Група також має схожі операційні зв'язки зі Scattered Spider, ще одним учасником колективу, відомим своєю імперсонацією ІТ-підтримки та таргетуванням облікових даних. Однак їхні кінцеві цілі відрізняються: Scattered Spider прагне ширшого доступу, тоді як UNC6040 прагне викрасти дані Salesforce.
Видавання себе за іншу особу в дії: метод Вішинга
Успіх групи зумовлений використанням надзвичайно переконливої соціальної інженерії на основі телефонного зв'язку. Видаючи себе за ІТ-спеціалістів, які часто вільно володіють англійською мовою, оператори UNC6040 можуть маніпулювати співробітниками, змушуючи їх передати облікові дані або виконати дії, що сприяють несанкціонованому доступу до корпоративних систем.
Використання довіри: модифікована схема завантажувача даних Salesforce
Одна з видатних тактик полягає в тому, щоб переконати жертв авторизувати модифіковану версію завантажувача даних Salesforce, замасковану під оманливими назвами, такими як «Мій портал квитків». Це дозволяє зловмисникам отримати доступ до інтерфейсу підключених додатків Salesforce, який вони використовують для крадіжки величезних обсягів даних клієнтів з платформи.
За межами Salesforce: латеральний рух та ширша експлуатація
Потрапивши всередину, UNC6040 не зупиняється на Salesforce. Зловмисники рухаються по мережі, збираючи дані з інших хмарних платформ, таких як Okta, Workplace та Microsoft 365. Це забезпечує ширший доступ до компрометації та збільшує цінність викраденої інформації.
Затримка виплати: стратегічна тактика вимагання
Цікаво, що спроби вимагання часто відбувалися через місяці після початкового компрометування, що свідчить про навмисну, стратегічну затримку. Ці вимоги іноді супроводжуються заявами про приналежність до відомої хакерської групи ShinyHunters, що, ймовірно, спрямовано на посилення психологічного тиску на жертв.
Розвідка першої необхідності: Вішинг, підкріплений автоматизованим телефонним спостереженням
UNC6040 також використовує автоматизовані телефонні системи із записаними повідомленнями та пунктами меню для збору інформації. Ці системи показують внутрішні номери служб підтримки, поширені проблеми співробітників, назви програм та системні сповіщення – важливу інформацію для розробки переконливих сценаріїв вишу.
Соціальна інженерія в епоху віддаленої роботи
Група отримує вигоду від переходу на віддалену ІТ-підтримку, де співробітники звикли взаємодіяти з незнайомим персоналом служби підтримки. Таке середовище створює ідеальні умови для оманливої соціальної інженерії, особливо в поєднанні з масштабною розвідкою.
Відповідь Salesforce та попередження для клієнтів
Salesforce визнала наявність атак у березні 2025 року, попередивши клієнтів про кампанії соціальної інженерії, що видають себе за ІТ-персонал. Зловмисники заманювали користувачів на фішингові сторінки або перенаправляли їх на login.salesforce[.]com/setup/connect для схвалення шкідливих підключених програм, зазвичай модифікованих версій Data Loader під оманливим брендингом.
Відсутність системної вразливості: використання людської слабкості
Salesforce наголосила, що ці інциденти виникли через маніпуляції з боку користувачів, а не через якісь технічні вразливості в їхніх системах. Ці атаки підкреслюють, що індивідуальна обізнаність та гігієна кібербезпеки залишаються критично важливими лініями захисту, особливо від шахрайства з використанням голосового фішингу.
Постійна загроза: попередження на майбутнє
Тактика, що використовується UNC6040, показує, що вішинг залишається дуже ефективним методом порушення захисту підприємств. Враховуючи затримку між початковим доступом та вимаганням, більше організацій можуть опинитися під загрозою в найближчі тижні або місяці. Пильність та надійний внутрішній контроль будуть ключовими для пом'якшення цієї загрози, що постійно зростає.
