Внутри схемы голосового фишинга: рост группы вишинга UNC6040
Table of Contents
Новый игрок на арене киберпреступности
Киберпреступная группа под названием UNC6040 стала заметной силой в мире социальной инженерии. Эта финансово мотивированная операция, выявленная командой Google Threat Intelligence , сосредоточила свои атаки на предприятиях, использующих Salesforce , популярную облачную платформу управления взаимоотношениями с клиентами (CRM). UNC6040 отличается от других своим специализированным использованием голосового фишинга — обычно называемого «вишингом» — тактики, которая использует человеческое взаимодействие по телефону, чтобы обманом заставить сотрудников выдать конфиденциальную информацию.
В то время как киберугрозы часто полагаются на уязвимости программного обеспечения, UNC6040 меняет сценарий, нацеливаясь на людей, стоящих за системами. Выдавая себя за внутреннюю ИТ-поддержку, группа убеждает сотрудников невольно скомпрометировать свои собственные организации. Этот практический, основанный на голосе подход добавляет уровень правдоподобия, особенно в эпоху удаленной работы, когда сотрудники могут быть более привычны к общению с незнакомым персоналом службы поддержки.
Социальная инженерия и Salesforce
В основе кампаний UNC6040 лежит сложная уловка с использованием утилиты Salesforce под названием Data Loader. Этот инструмент обычно используется для импорта и экспорта больших объемов данных. Злоумышленники модифицируют его, маскируя приложение под именами вроде «My Ticket Portal», и заставляют жертв авторизоваться через официальный интерфейс Salesforce.
После одобрения вредоносное приложение действует как бэкдор в CRM-среду организации, предоставляя UNC6040 прямой доступ к ценным данным клиентов. Обман на этом не заканчивается. Злоумышленники часто используют эту точку опоры для расширения вбок, переходя к другим внутренним системам, таким как Okta, Microsoft 365 и Workplace. Это эффект домино — начинается с телефонного звонка и заканчивается широкомасштабным раскрытием данных.
Больше, чем просто кража данных
Последствия деятельности UNC6040 выходят далеко за рамки украденных данных. В отдельных случаях группа или ее филиалы возвращались спустя месяцы с требованиями вымогательства, используя украденную информацию в качестве рычага. Чтобы усилить давление, они заявляют о связях с ShinyHunters , известным хакерским коллективом, хотя прямая связь не была подтверждена.
Эта стратегия отложенного вымогательства предполагает расчетливый подход, возможно, в координации с другими участниками киберпреступности. Она также подчеркивает долгосрочный риск, создаваемый такими нарушениями. Организации могут не ощущать полного воздействия в течение длительного времени после первоначального взлома, давая злоумышленникам время изучить ценность украденных данных и потенциальное использование.
Не изолированная угроза
UNC6040 не действует в вакууме. Его тактика пересекается с тактикой других киберпреступных групп, таких как Scattered Spider, часть слабо организованной сети, известной как The Com. Эти связи говорят о том, что вишинг стал популярным методом среди финансово мотивированных киберпреступников.
Что особенно примечательно, так это то, как эти группы адаптируют традиционные фишинговые методы к современной рабочей динамике. Поскольку многие компании полагаются на удаленную ИТ-поддержку и аутсорсинговые службы поддержки, присутствие незнакомого голоса в телефоне больше не вызывает опасений. Такая нормализация удаленного взаимодействия дает злоумышленникам больше возможностей для маневра.
Почему это важно сейчас
Salesforce, зная о растущей угрозе, выпустила предупреждение в марте 2025 года, предупреждая клиентов об этой тактике. По данным компании, нет никаких доказательств уязвимости ее платформы. Вместо этого атаки основаны на эксплуатации неосведомленности отдельных пользователей о кибербезопасности. Во всех зарегистрированных случаях злоумышленники использовали социальную инженерию, а не технические эксплойты, чтобы взломать защиту.
Это развитие подчеркивает меняющийся ландшафт кибербезопасности. Поскольку технологические платформы укрепляют свои системы, злоумышленники переключают внимание на более уязвимые цели: людей. Голосовой фишинг сочетает в себе обман старой школы с современными инструментами, доказывая, что даже высокотехнологичные среды уязвимы для низкотехнологичных манипуляций.
Как организации могут отреагировать
Рост UNC6040 — это тревожный сигнал для предприятий всех размеров. Хотя брандмауэры и антивирусные инструменты остаются необходимыми, они не могут защитить от убедительного телефонного звонка. Обучение сотрудников теперь является критически важным уровнем защиты. Организации должны обучать персонал распознавать красные флажки, такие как неожиданные ИТ-запросы, необычные авторизации приложений или давление с целью быстрого реагирования.
Более того, технические меры безопасности, такие как рабочие процессы одобрения приложений, многофакторная аутентификация и ограниченный контроль доступа, могут помочь сдержать последствия, если социальная инженерия сработает. Мониторинг необычной активности приложений и ужесточение разрешений на интеграцию на таких платформах, как Salesforce, теперь являются обязательными, а не желательными.
Итог
UNC6040 представляет собой растущий класс киберугроз, которые охотятся на доверие и поведение человека, а не на недостатки программного обеспечения. Его кампании напоминают нам, что кибербезопасность — это не просто техническая проблема, а человеческая. Поскольку тактики голосового фишинга становятся все более изощренными, организации должны в равной степени инвестировать в осведомленность и технологии для защиты от них. Призыв может звучать как помощь, но, как показал UNC6040, он может стать началом чего-то гораздо более пагубного.
