UNC6040 網路釣魚集團
網路安全研究人員發現了一個以經濟利益為目的的威脅組織,編號為 UNC6040,該組織在語音釣魚 (vishing) 活動中佔有一席之地。這些攻擊專門設計用於滲透 Salesforce 環境,大規模竊取敏感數據,並利用竊取的資訊進行勒索。
目錄
熟悉的面孔:與「The Com」網路犯罪集團的聯繫
UNC6040 的策略和行為表明其與 The Com(一個鬆散的線上網路犯罪網絡)有關聯。該組織的操作方式也與 Scattered Spider 類似,後者是該組織的另一個成員,以冒充 IT 支援人員和攻擊憑證而聞名。然而,他們的最終目標不同:Scattered Spider 尋求更廣泛的存取權限,而 UNC6040 的目標是竊取 Salesforce 資料。
冒充實戰:網路釣魚的作案手法
該組織的成功源自於其高度可信賴的電話社交工程技術。 UNC6040 的營運人員通常會假扮成能說流利英語的 IT 支援人員,從而誘使員工交出憑證或執行一些操作,從而非法存取公司係統。
利用信任:修改後的 Salesforce 資料載入器方案
一個引人注目的策略是說服受害者授權使用 Salesforce 資料載入器的修改版本,該修改版本偽裝成「我的工單入口網站」等誤導性名稱。這使得攻擊者能夠存取 Salesforce 的連接應用程式介面,並利用該介面從平台內部竊取大量客戶資料。
超越 Salesforce:橫向移動和更廣泛的利用
一旦進入內部,UNC6040 就不會止步於 Salesforce。攻擊者會橫向擴展網絡,從 Okta、Workplace 和 Microsoft 365 等其他雲端平台竊取資料。這使得入侵範圍得以擴大,並提升了被盜資訊的價值。
延遲還款:戰略勒索戰術
有趣的是,勒索企圖往往在最初入侵數月後才出現,顯示攻擊者有意拖延。這些勒索有時還會聲稱自己與臭名昭著的駭客組織 ShinyHunters 有關聯,此舉很可能是為了增加受害者的心理壓力。
偵察第一:利用自動電話監控進行語音網路釣魚
UNC6040 還利用帶有錄音資訊和選單選項的自動電話系統來收集偵察資訊。這些系統會顯示內部支援號碼、常見的員工問題、應用程式名稱和系統警報,這些都是自訂令人信服的語音釣魚方案的關鍵訊息。
遠距工作時代的社會工程學
該組織受益於轉向遠端IT支持,員工習慣與陌生的支援人員打交道。這種環境為欺騙性的社會工程創造了理想的條件,尤其是在與廣泛的偵察相結合的情況下。
Salesforce 的回應和客戶警告
Salesforce 於 2025 年 3 月承認了這些攻擊,並警告客戶警惕冒充 IT 人員的社會工程攻擊活動。攻擊者一直在誘騙用戶訪問釣魚頁面,或將用戶引導至 login.salesforce[.]com/setup/connect 以批准惡意連接的應用程式(通常是偽裝成欺騙性品牌的 Data Loader 修改版本)。
無系統漏洞:利用人性弱點
Salesforce 強調,這些事件源自於使用者操縱,而非其係統有任何技術漏洞。這些攻擊凸顯了個人安全意識和網路安全衛生仍然是關鍵防線,尤其是在防範語音釣魚詐騙方面。
持續威脅:對未來的警告
UNC6040 所採用的策略表明,語音釣魚仍然是突破企業防禦系統的一種非常有效的手段。考慮到初始訪問和勒索之間的延遲,未來幾週或幾個月內,更多組織可能會面臨風險。保持警惕並加強內部控制將是緩解這一不斷演變的威脅的關鍵。
