Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Lừa đảo UNC6040 Nhóm Vishing

UNC6040 Nhóm Vishing

Đến năm Mezo năm Lừa đảo
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một nhóm đe dọa có động cơ tài chính, được xác định là UNC6040, đã tạo ra một ngách trong các chiến dịch lừa đảo qua giọng nói (vishing). Các cuộc tấn công này được thiết kế riêng để xâm nhập vào môi trường Salesforce, đánh cắp dữ liệu nhạy cảm ở quy mô lớn và sử dụng thông tin bị đánh cắp để tống tiền.

Một khuôn mặt quen thuộc: Liên kết đến 'The Com' Cybercrime Collective

Chiến thuật và hành vi của UNC6040 cho thấy mối liên hệ với The Com, một mạng lưới tội phạm mạng trực tuyến lỏng lẻo. Nhóm này cũng có những điểm tương đồng về hoạt động với Scattered Spider, một tác nhân khác trong nhóm này nổi tiếng với hành vi mạo danh hỗ trợ CNTT và nhắm mục tiêu thông tin xác thực. Tuy nhiên, mục tiêu cuối cùng của chúng lại khác nhau, với Scattered Spider tìm cách tiếp cận rộng hơn, trong khi UNC6040 nhằm mục đích đánh cắp dữ liệu của Salesforce.

Mạo danh trong hành động: Phương thức hoạt động của Vishing

Thành công của nhóm bắt nguồn từ việc sử dụng kỹ thuật xã hội dựa trên điện thoại rất thuyết phục. Bằng cách đóng giả là nhân viên hỗ trợ CNTT, thường là người nói tiếng Anh lưu loát, các nhà điều hành UNC6040 có thể thao túng nhân viên giao nộp thông tin xác thực hoặc thực hiện các hành động tạo điều kiện cho việc truy cập trái phép vào hệ thống của công ty.

Khai thác lòng tin: Chương trình tải dữ liệu Salesforce đã sửa đổi

Một chiến thuật nổi bật là thuyết phục nạn nhân ủy quyền cho phiên bản đã sửa đổi của Data Loader của Salesforce, được ngụy trang dưới những cái tên gây hiểu lầm như 'My Ticket Portal'. Điều này cho phép kẻ tấn công truy cập vào giao diện ứng dụng được kết nối của Salesforce, nơi chúng khai thác để đánh cắp lượng lớn dữ liệu khách hàng từ bên trong nền tảng.

Ngoài Salesforce: Chuyển động ngang và khai thác rộng hơn

Một khi đã xâm nhập, UNC6040 không dừng lại ở Salesforce. Những kẻ tấn công xoay ngang qua mạng, thu thập dữ liệu từ các nền tảng đám mây khác như Okta, Workplace và Microsoft 365. Điều này cho phép xâm phạm rộng hơn và tăng giá trị của thông tin bị đánh cắp.

Trả chậm: Chiến thuật tống tiền chiến lược

Điều thú vị là các nỗ lực tống tiền thường diễn ra nhiều tháng sau thỏa hiệp ban đầu, cho thấy sự chậm trễ có chủ đích, mang tính chiến lược. Những yêu cầu này đôi khi đi kèm với các tuyên bố liên kết với nhóm tin tặc khét tiếng ShinyHunters, một động thái có thể nhằm mục đích khuếch đại áp lực tâm lý lên nạn nhân.

Recon First: Vishing được hỗ trợ bởi hệ thống giám sát điện thoại tự động

UNC6040 cũng tận dụng các hệ thống điện thoại tự động với các tin nhắn được ghi âm và các tùy chọn menu để thu thập thông tin trinh sát. Các hệ thống này tiết lộ số điện thoại hỗ trợ nội bộ, các vấn đề chung của nhân viên, tên ứng dụng và cảnh báo hệ thống, thông tin tình báo quan trọng để điều chỉnh các kịch bản vishing thuyết phục.

Kỹ thuật xã hội trong thời đại làm việc từ xa

Nhóm được hưởng lợi từ việc chuyển sang hỗ trợ CNTT từ xa, nơi nhân viên quen với việc tương tác với nhân viên hỗ trợ không quen thuộc. Môi trường này tạo ra điều kiện lý tưởng cho kỹ thuật xã hội lừa đảo, đặc biệt là khi kết hợp với hoạt động trinh sát mở rộng.

Phản hồi của Salesforce và cảnh báo của khách hàng

Salesforce thừa nhận các cuộc tấn công vào tháng 3 năm 2025, cảnh báo khách hàng về các chiến dịch kỹ thuật xã hội mạo danh nhân viên CNTT. Kẻ tấn công đã dụ người dùng đến các trang lừa đảo hoặc hướng dẫn họ đến login.salesforce[.]com/setup/connect để chấp thuận các ứng dụng được kết nối độc hại, thường là các phiên bản đã sửa đổi của Data Loader dưới nhãn hiệu lừa đảo.

Không có lỗ hổng hệ thống: Khai thác điểm yếu của con người

Salesforce nhấn mạnh rằng những sự cố này xuất phát từ sự thao túng của người dùng, không phải bất kỳ lỗ hổng kỹ thuật nào trong hệ thống của họ. Các cuộc tấn công nhấn mạnh rằng nhận thức cá nhân và vệ sinh an ninh mạng vẫn là những tuyến phòng thủ quan trọng, đặc biệt là chống lại các vụ lừa đảo qua giọng nói.

Mối đe dọa dai dẳng: Một lời cảnh báo cho tương lai

Các chiến thuật được UNC6040 sử dụng cho thấy vishing vẫn là phương pháp cực kỳ hiệu quả để phá vỡ các biện pháp phòng thủ của doanh nghiệp. Với sự chậm trễ giữa thời điểm truy cập ban đầu và tống tiền, nhiều tổ chức có thể thấy mình gặp rủi ro trong những tuần hoặc tháng tới. Sự cảnh giác và kiểm soát nội bộ mạnh mẽ sẽ là chìa khóa để giảm thiểu mối đe dọa đang phát triển này.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
34,158
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...