Google telah mengungkapkan rincian kluster ancaman yang termotivasi secara finansial yang dikatakan “mengkhususkan” dalam voice phishing (alias Vishing) yang dirancang untuk melanggar instance Salesforce organisasi untuk pencurian data skala besar dan pemerasan berikutnya.
Tim Ancaman Raksasa Teknologi sedang melacak aktivitas di bawah moniker UNC6040yang dikatakan menunjukkan karakteristik yang selaras dengan kelompok ancaman yang memiliki ikatan dengan kolektif kejahatan dunia maya online yang dikenal sebagai com.
“Selama beberapa bulan terakhir, UNC6040 telah menunjukkan keberhasilan berulang-ulang dalam melanggar jaringan dengan membuat operatornya menyamar sebagai personel pendukung TI dalam meyakinkan keterlibatan teknik sosial berbasis telepon,” kata perusahaan itu dalam sebuah laporan yang dibagikan kepada Hacker News.
Pendekatan ini, Grup Intelijen Ancaman Google (GTIG) menambahkan, memiliki manfaat menipu karyawan berbahasa Inggris untuk melakukan tindakan yang memberikan akses aktor ancaman atau mengarah pada berbagi informasi berharga seperti kredensial, yang kemudian digunakan untuk memfasilitasi pencurian data.
Aspek penting dari kegiatan UNC6040 melibatkan penggunaan versi yang dimodifikasi dari loader data Salesforce yang ditipu oleh para korban menjadi wewenang sehingga dapat terhubung ke portal Salesforce organisasi selama serangan Vishing. Data Loader adalah aplikasi yang digunakan untuk mengimpor, mengekspor, dan memperbarui data dalam jumlah besar dalam platform Salesforce.
Secara khusus, penyerang memandu target untuk mengunjungi halaman pengaturan aplikasi Salesforce yang terhubung dan menyetujui versi yang dimodifikasi dari aplikasi loader data yang membawa nama atau branding yang berbeda (misalnya, “portal tiket saya”) dari rekannya yang sah. Tindakan ini memberi mereka akses yang tidak sah ke lingkungan pelanggan Salesforce dan mengeksfiltrasi data.
Di luar kehilangan data, serangan tersebut berfungsi sebagai batu loncatan bagi UNC6040 untuk bergerak secara lateral melalui jaringan korban, dan kemudian mengakses dan memanen informasi dari platform lain seperti OKTA, tempat kerja, dan Microsoft 365.
Insiden tertentu juga melibatkan kegiatan pemerasan, tetapi hanya “beberapa bulan” setelah intrusi awal diamati, menunjukkan upaya untuk memonetisasi dan untung dari data curian yang mungkin dalam kemitraan dengan aktor ancaman kedua.
“Selama upaya pemerasan ini, aktor telah mengklaim afiliasi dengan kelompok peretasan terkenal Shinyhunters, kemungkinan sebagai metode untuk meningkatkan tekanan pada korban mereka,” kata Google.
Tumpang tindih UNC6040 dengan kelompok-kelompok yang terkait dengan com batang dari penargetan kredensial Okta dan penggunaan rekayasa sosial melalui dukungan TI, sebuah taktik yang telah dianut oleh Spider yang tersebar, aktor ancaman lain yang termotivasi secara finansial yang merupakan bagian dari kolektif terorganisir yang longgar.
Kampanye Vishing belum diketahui oleh Salesforce, yang, pada bulan Maret 2025, memperingatkan para aktor ancaman yang menggunakan taktik rekayasa sosial untuk menyamar sebagai personel pendukung TI melalui telepon dan menipu karyawan pelanggannya agar memberikan kredensial mereka atau menyetujui aplikasi loader data yang dimodifikasi.
“Mereka telah dilaporkan memikat karyawan pelanggan kami dan pekerja pendukung pihak ketiga ke halaman phishing yang dirancang untuk mencuri kredensial dan token MFA atau mendorong pengguna untuk menavigasi ke login.[.]Halaman com/setup/connect untuk menambahkan aplikasi yang terhubung berbahaya, “kata perusahaan itu.
“Dalam beberapa kasus, kami telah mengamati bahwa aplikasi yang terhubung berbahaya adalah versi yang dimodifikasi dari aplikasi loader data yang diterbitkan dengan nama dan/atau branding yang berbeda. Setelah aktor ancaman mendapatkan akses ke akun Salesforce pelanggan atau menambahkan aplikasi yang terhubung, mereka menggunakan aplikasi yang terhubung untuk mengekspiltrasi data.”
Pengembangan tidak hanya menyoroti kecanggihan yang berkelanjutan dari kampanye rekayasa sosial, tetapi juga menunjukkan bagaimana staf pendukungnya semakin ditargetkan sebagai cara untuk mendapatkan akses awal.
“Keberhasilan kampanye seperti UNC6040 -an, memanfaatkan taktik Vishing yang halus ini, menunjukkan bahwa pendekatan ini tetap menjadi vektor ancaman yang efektif untuk kelompok -kelompok yang termotivasi secara finansial yang ingin melanggar pertahanan organisasi,” kata Google.
“Mengingat kerangka waktu yang diperpanjang antara kompromi awal dan pemerasan, ada kemungkinan bahwa beberapa organisasi korban dan berpotensi ke hilir korban dapat menghadapi tuntutan pemerasan dalam beberapa minggu atau bulan mendatang.”
