Google ha divulgato i dettagli di un cluster di minacce finanziariamente motivato che ha affermato che “è specializzata” in campagne di phishing vocale (AKA Vishing) progettate per violazione delle istanze Salesforce delle organizzazioni per il furto di dati su larga scala e la successiva estorsione.
Il workforce di intelligence delle minacce del gigante tecnologico sta monitorando l’attività sotto il moniker UNC6040che diceva mostra caratteristiche che si allineano con i gruppi di minacce con i legami con un collettivo di criminalità informatica on-line noto come Il com.
“Negli ultimi mesi, l’UNC6040 ha dimostrato un ripetuto successo nella violazione delle reti facendo in modo che i propri operatori impersonino il personale di supporto IT nel convincere impegni di ingegneria sociale basata sul telefono”, la società disse In un rapporto condiviso con le notizie di Hacker.
Questo approccio, ha aggiunto il gruppo di intelligence delle minacce di Google (GTIG), ha avuto il vantaggio di ingannare i dipendenti di lingua inglese nell’esecuzione di azioni che danno l’accesso agli attori delle minacce o portano alla condivisione di informazioni preziose come le credenziali, che vengono quindi utilizzate per facilitare il furto di dati.
Un aspetto degno di nota delle attività dell’UNC6040 prevede l’uso di una versione modificata di Salesforce Caricatore di dati Che le vittime siano ingannate nell’autorizzazione in modo da connettersi al portale Salesforce dell’organizzazione durante l’attacco Vishing. Knowledge Loader è un’applicazione utilizzata per importare, esportare e aggiornare i dati in blocco all’interno della piattaforma Salesforce.
In particolare, gli aggressori guidano l’obiettivo di visitare la pagina di configurazione dell’app connessa di Salesforce e approvare la versione modificata dell’app del caricatore dati che trasporta un nome o un marchio diverso (advert es. “My Ticket Portal”) dalla sua controparte legittima. Questa azione garantisce loro l’accesso non autorizzato agli ambienti dei clienti Salesforce e ai dati esfiltrati.
Oltre alla perdita di dati, gli attacchi servono da trampolino di lancio per l’UNC6040 per spostarsi lateralmente attraverso la rete della vittima e quindi accedere e raccogliere informazioni da altre piattaforme come Okta, Office e Microsoft 365.
Incidenti selezionati hanno anche coinvolto attività di estorsione, ma solo diversi mesi “dopo le intrusioni iniziali, indicando un tentativo di monetizzare e trarre profitto dai dati rubati presumibilmente in collaborazione con un secondo attore di minaccia.
“Durante questi tentativi di estorsione, l’attore ha rivendicato l’affiliazione con il noto gruppo di hacking lucido, probabilmente come metodo per aumentare la pressione sulle loro vittime”, ha affermato Google.
L’UNC6040 si sovrappone ai gruppi collegati al comma del com Concentrating on delle credenziali di Okta e l’uso dell’ingegneria sociale tramite il supporto IT, una tattica che è stata abbracciata da Ragno sparsoun altro attore di minaccia finanziariamente motivato che fa parte del collettivo organizzato a pezzi.
La campagna Vishing non è passata inosservata da Salesforce, che, nel marzo 2025, ha avvertito degli attori delle minacce che utilizzano tattiche di ingegneria sociale per impersonare il personale di supporto IT per telefono e ingannare i dipendenti dei suoi clienti a regalare le loro credenziali o approvare l’app modificata del caricatore di dati.
“Sono stati segnalati per attirare i dipendenti dei nostri clienti e i lavoratori di supporto di terze parti alle pagine di phishing progettate per rubare credenziali e token MFA o spingere gli utenti a navigare nella pagina di accesso. disse.
“In alcuni casi, abbiamo osservato che l’app connessa dannosa è una versione modificata dell’app di caricatore di dati pubblicata con un nome e/o un marchio diverso. Una volta che l’attore di minaccia ottiene l’accesso all’account Salesforce di un cliente o aggiunge un’app connessa, utilizzano l’app connessa per i dati Exfiltrate.”
Lo sviluppo non solo evidenzia la continua raffinatezza delle campagne di ingegneria sociale, ma mostra anche come il personale di supporto IT sia sempre più preso di mira come un modo per ottenere l’accesso iniziale.
“Il successo di campagne come l’UNC6040, sfruttando queste raffinate tattiche in virgola, dimostra che questo approccio rimane un vettore di minaccia efficace per i gruppi motivati finanziariamente che cercano di violare le difese organizzative”, ha affermato Google.
“Dato il periodo di tempo prolungato tra compromesso iniziale ed estorsione, è possibile che più organizzazioni di vittime e vittime potenzialmente a valle possano affrontare le richieste di estorsione nelle prossime settimane o mesi.”
