UNC6040 网络钓鱼集团

网络安全研究人员发现了一个以经济利益为目的的威胁组织，编号为 UNC6040，该组织在语音钓鱼 (vishing) 活动中占据一席之地。这些攻击专门设计用于渗透 Salesforce 环境，大规模窃取敏感数据，并利用窃取的信息进行勒索。

熟悉的面孔：与“The Com”网络犯罪团伙的联系

UNC6040 的策略和行为表明其与 The Com（一个松散的在线网络犯罪网络）存在关联。该组织的操作方式也与 Scattered Spider 类似，后者是该组织的另一个成员，以冒充 IT 支持人员和攻击凭证而闻名。然而，他们的最终目标不同：Scattered Spider 寻求更广泛的访问权限，而 UNC6040 的目标是窃取 Salesforce 数据。

冒充实战：网络钓鱼的作案手法

该组织的成功源于其高度可信的电话社交工程技术。UNC6040 的运营人员通常假扮为能说流利英语的 IT 支持人员，从而诱使员工交出凭证或执行一些操作，从而非法访问公司系统。

利用信任：修改后的 Salesforce 数据加载器方案

一个引人注目的策略是说服受害者授权使用 Salesforce 数据加载器的修改版本，该修改版本伪装成“我的工单门户”等误导性名称。这使得攻击者能够访问 Salesforce 的连接应用程序界面，并利用该界面从平台内部窃取大量客户数据。

超越 Salesforce：横向移动和更广泛的利用

一旦进入内部，UNC6040 就不会止步于 Salesforce。攻击者会横向扩展网络，从 Okta、Workplace 和 Microsoft 365 等其他云平台窃取数据。这使得入侵范围得以扩大，并提升了被盗信息的价值。

延迟还款：战略勒索战术

有趣的是，勒索企图往往在最初入侵数月后才出现，这表明攻击者有意拖延。这些勒索有时还会声称自己与臭名昭著的黑客组织 ShinyHunters 有关联，此举很可能是为了加大受害者的心理压力。

侦察第一：利用自动电话监控进行语音网络钓鱼

UNC6040 还利用带有录音信息和菜单选项的自动电话系统来收集侦察信息。这些系统会显示内部支持号码、常见的员工问题、应用程序名称和系统警报，这些都是定制令人信服的语音钓鱼方案的关键信息。

远程工作时代的社会工程学

该组织受益于转向远程IT支持，员工习惯于与陌生的支持人员打交道。这种环境为欺骗性的社会工程学创造了理想的条件，尤其是在与广泛的侦察相结合的情况下。

Salesforce 的回应和客户警告

Salesforce 于 2025 年 3 月承认了这些攻击，并警告客户警惕冒充 IT 人员的社会工程攻击活动。攻击者一直在诱骗用户访问钓鱼页面，或将用户引导至 login.salesforce[.]com/setup/connect 以批准恶意连接的应用程序（通常是伪装成欺骗性品牌的 Data Loader 修改版本）。

无系统漏洞：利用人性弱点

Salesforce 强调，这些事件源于用户操纵，而非其系统存在任何技术漏洞。这些攻击凸显了个人安全意识和网络安全卫生仍然是关键防线，尤其是在防范语音钓鱼诈骗方面。

持续威胁：对未来的警告

UNC6040 所采用的策略表明，语音钓鱼仍然是突破企业防御系统的一种非常有效的手段。考虑到初始访问和勒索之间的延迟，未来几周或几个月内，更多组织可能会面临风险。保持警惕并加强内部控制将是缓解这一不断演变的威胁的关键。