Google heeft details bekendgemaakt van een financieel gemotiveerd dreigingscluster dat het zei “gespecialiseerd” in voice phishing (aka Vishing) campagnes die zijn ontworpen om de verkoopinstanties van organisaties te overtreden voor grootschalige gegevensdiefstal en daaropvolgende afpersing.
Het dreigings intelligentie -team van de tech -reus volgt de activiteit onder de naam UNC6040waarvan het stond, vertoont kenmerken die aansluiten bij bedreigingsgroepen met banden met een online cybercriminaliteitscollectief dat bekend staat als de COM.
“In de afgelopen maanden heeft UNC6040 herhaald succes aangetoond in het overtreden van netwerken door zijn operators na te streven naar het ondersteunen van het personeel bij het overtuigen van telefoongebaseerde social engineering-engagementen,” zei het bedrijf in een rapport gedeeld met The Hacker News.
Deze benadering, de Google’s Threat Intelligence Group (GTIG), heeft toegevoegd, heeft het voordeel dat Engelstalige werknemers voor het misleiden van acties die de dreigingsactoren toegang geven of leiden tot het delen van waardevolle informatie zoals inloggegevens, die vervolgens worden gebruikt om gegevensdiefstal te vergemakkelijken.
Een opmerkelijk aspect van de activiteiten van UNC6040 omvat het gebruik van een gewijzigde versie van de gegevenslader van Salesforce dat slachtoffers worden bedrogen om te machtiging om verbinding te maken met het Salesforce -portaal van de organisatie tijdens de Vishing -aanval. Data Loader is een toepassing die wordt gebruikt om gegevens in bulk in het Salesforce -platform te importeren, te exporteren en bij te werken.
Specifiek begeleiden de aanvallers het doel om de verbonden app -installatiepagina van Salesforce te bezoeken en de gewijzigde versie van de Data Loader -app goed te keuren die een andere naam of branding draagt (bijv. “My Ticket Portal”) van de legitieme tegenhanger. Deze actie geeft hen ongeautoriseerde toegang tot de Salesforce -klantomgevingen en exfiltregegevens.
Naast gegevensverlies dienen de aanvallen als een opstap voor UNC6040 om lateraal door het netwerk van het slachtoffer te gaan, en vervolgens toegang te krijgen tot en te openen van informatie van andere platforms zoals Okta, Workplace en Microsoft 365.
Selectieve incidenten hebben ook afvalactiviteiten betrokken, maar slechts “enkele maanden” nadat de initiële intrusies waren waargenomen, wat duidt op een poging om geld te verdienen en te profiteren van de gestolen gegevens vermoedelijk in samenwerking met een tweede dreigingsacteur.
“Tijdens deze afpersingspogingen heeft de acteur geëist met de bekende hackgroep Shinyhunters, waarschijnlijk als een methode om de druk op hun slachtoffers te vergroten,” zei Google.
De overlappingen van UNC6040 met groepen die zijn gekoppeld aan de samenstelling van de targeting van Okta-referenties en het gebruik van sociale engineering via IT-ondersteuning, een tactiek die is omarmd door Scattered Spider, een andere financieel gemotiveerde dreigingsacteur die deel uitmaakt van het losse georganiseerde georganiseerde collectief.
De Vishing -campagne is niet onopgemerkt gebleven door Salesforce, die in maart 2025 waarschuwde dat acteurs van bedreigingen social engineering -tactieken gebruikten om het personeel te ondersteunen via de telefoon en de werknemers van zijn klanten te misleiden om hun referenties weg te geven of de aangepaste gegevenslader -app goed te keuren.
“Er zijn gemeld dat ze de werknemers van onze klanten en ondersteuning van derden naar phishing-pagina’s lokken die zijn ontworpen om referenties en MFA-tokens te stelen of gebruikers ertoe te brengen om naar de login.salesforce (.) Com/Setup/Connect-pagina te navigeren om een schadelijke verbonden app toe te voegen,” zei het bedrijf.
“In sommige gevallen hebben we opgemerkt dat de kwaadwillende verbonden app een gewijzigde versie is van de gegevenslader -app die is gepubliceerd onder een andere naam en/of branding. Zodra de dreigingsacteur toegang krijgt tot het Salesforce -account van een klant of een verbonden app toevoegen, gebruiken ze de verbonden app om gegevens te verbinden.”
De ontwikkeling benadrukt niet alleen de voortdurende verfijning van sociale engineeringcampagnes, maar laat ook zien hoe het personeel in toenemende mate wordt gericht als een manier om initiële toegang te krijgen.
“Het succes van campagnes zoals UNC6040’s, die deze verfijnde vising -tactieken gebruiken, toont aan dat deze aanpak een effectieve dreigingsvector blijft voor financieel gemotiveerde groepen die organisatorische verdedigingen willen overtreden,” zei Google.
“Gezien het verlengde tijdsbestek tussen het eerste compromis en afpersing, is het mogelijk dat meerdere slachtofferorganisaties en mogelijk stroomafwaartse slachtoffers de komende weken of maanden te maken kunnen krijgen.”
