语音钓鱼攻略:UNC6040 语音钓鱼组织的崛起
Table of Contents
网络犯罪领域的新玩家
一个名为 UNC6040 的网络犯罪组织已成为社会工程领域的一股重要力量。经谷歌威胁情报团队确认,该组织以经济利益为导向,主要攻击使用Salesforce (一款流行的云端客户关系管理 (CRM) 平台)的企业。UNC6040 的独特之处在于其专门使用语音钓鱼(通常称为“语音钓鱼”)——一种利用电话中的人际互动诱骗员工泄露敏感信息的手段。
网络威胁通常依赖于软件漏洞,而 UNC6040 则反其道而行之,将目标锁定在系统背后的人员身上。该组织通过冒充内部 IT 支持人员,诱导员工在不知情的情况下入侵其所在组织。这种基于语音的亲自动手操作方式增加了可信度,尤其是在远程办公时代,员工可能更习惯于与陌生的支持人员交谈。
社会工程学与 Salesforce 的结合
UNC6040 攻击活动的核心是一个精心设计的诡计,涉及一款名为“Data Loader”的 Salesforce 实用程序。该工具通常用于导入和导出大量数据。攻击者对其进行修改,将其伪装成“我的工单门户”等名称,并引导受害者通过 Salesforce 官方界面进行授权。
一旦获得批准,该恶意应用程序就会成为进入组织 CRM 环境的后门,使 UNC6040 能够直接访问宝贵的客户数据。欺骗行为远不止于此。攻击者经常利用这个立足点横向扩展,进而入侵其他内部系统,例如 Okta、Microsoft 365 和 Workplace。这会产生多米诺骨牌效应——从一通电话开始,最终导致大范围的数据泄露。
不仅仅是数据盗窃
UNC6040 活动的后果远不止窃取数据。在某些情况下,该组织或其关联机构会在数月后再次利用窃取的信息作为筹码,提出勒索要求。为了进一步施压,他们声称与知名黑客组织ShinyHunters有联系,尽管尚未证实其与该组织的直接关联。
这种延迟勒索策略表明,攻击者可能与其他网络犯罪分子合作,采取了精心策划的手段。这也凸显了此类数据泄露带来的长期风险。企业可能在最初入侵后很长一段时间才会感受到全面影响,这给了攻击者时间来探索被盗数据的价值和潜在用途。
并非孤立的威胁
UNC6040 并非凭空运作。其手法与其他网络犯罪集团(例如 Scattered Spider)存在重叠,后者隶属于一个名为 The Com 的松散网络。这些联系表明,语音钓鱼已成为受经济利益驱动的网络犯罪分子常用的手段。
尤其值得注意的是,这些犯罪团伙如何将传统的网络钓鱼技术应用于现代职场动态。由于许多公司依赖远程IT支持和外包服务台,电话中出现陌生声音已不再是危险信号。远程互动的常态化为攻击者提供了更大的操作空间。
为什么现在这很重要
Salesforce 意识到日益严重的威胁,于 2025 年 3 月发出警告,提醒客户警惕这些攻击手段。该公司表示,没有证据表明其平台存在漏洞。相反,这些攻击的重点在于利用个人用户缺乏网络安全意识。在所有报告的案例中,攻击者都使用了社会工程学(而非技术漏洞)来突破防御措施。
这一发展凸显了网络安全格局的转变。随着技术平台不断强化系统,攻击者正将注意力转向更脆弱的目标:人。语音网络钓鱼将传统欺骗手段与现代工具相结合,证明即使是高科技环境也容易受到低技术含量的操纵。
组织如何应对
UNC6040 的兴起对各种规模的企业都敲响了警钟。虽然防火墙和防病毒工具仍然必不可少,但它们无法抵御令人信服的电话攻击。员工教育如今已成为一道关键的防线。企业必须培训员工识别危险信号,例如意外的 IT 请求、异常的应用程序授权或快速采取行动的压力。
此外,技术保障措施(例如应用程序审批工作流程、多因素身份验证和受限访问控制)有助于控制社交工程攻击得逞后的后果。监控异常应用程序活动并加强 Salesforce 等平台的集成权限如今已成为必需,而非可有可无。
底线
UNC6040 代表着一种日益增长的网络威胁,它们攻击的是信任和人类行为,而非软件缺陷。它的活动提醒我们,网络安全不仅仅是一项技术挑战,更是人为挑战。随着语音钓鱼策略日益复杂,组织必须在意识和技术上投入同等的资金来防御这些威胁。这番呼吁听起来像是在寻求帮助,但正如 UNC6040 所表明的那样,这可能是更有害后果的开端。
