تیم اطلاعات تهدید این غول فناوری، این فعالیت را با نام UNC6040 دنبال میکند. این گروه ویژگیهایی دارد که با گروههای تهدید مرتبط با یک مجموعه جرایم سایبری آنلاین به نام The Com همخوانی دارد.
گوگل در گزارشی اعلام کرد: “طی چند ماه گذشته، UNC6040 موفقیت مکرری در نفوذ به شبکهها نشان داده است. اپراتورهای این گروه با جعل هویت پرسنل پشتیبانی فناوری اطلاعات، در تماسهای تلفنی متقاعدکننده مبتنی بر مهندسی اجتماعی شرکت میکنند.”
گروه اطلاعات تهدید گوگل (GTIG) افزود که این رویکرد باعث فریب کارمندان انگلیسیزبان شده تا اقداماتی انجام دهند که به مهاجمان دسترسی میدهد یا منجر به اشتراکگذاری اطلاعات ارزشمند مانند اعتبارنامهها میشود. سپس از این اطلاعات برای تسهیل سرقت داده استفاده میشود.
جنبه قابل توجه فعالیتهای UNC6040 استفاده از نسخه تغییریافته Data Loader سیلزفورس است. قربانیان فریب میخورند تا در حین حمله ویشینگ، این نرمافزار را برای اتصال به پورتال Salesforce سازمان خود مجاز کنند.
Data Loader برنامهای است که برای وارد کردن، صادر کردن و بهروزرسانی انبوه دادهها در پلتفرم Salesforce استفاده میشود. مهاجمان هدف را راهنمایی میکنند تا به صفحه تنظیمات برنامه متصل Salesforce مراجعه کرده و نسخه تغییریافته Data Loader را که نام یا برند متفاوتی (مثلاً “My Ticket Portal”) از نسخه قانونی دارد، تأیید کند.
این اقدام به آنها دسترسی غیرمجاز به محیطهای مشتری Salesforce میدهد و امکان استخراج دادهها را فراهم میکند. علاوه بر از دست دادن دادهها، این حملات نقطه شروعی برای UNC6040 هستند تا به صورت جانبی در شبکه قربانی حرکت کرده و به پلتفرمهای دیگر مانند Okta، Workplace و Microsoft 365 دسترسی پیدا کند.
برخی حوادث شامل فعالیتهای اخاذی نیز بودهاند، اما تنها “چندین ماه” پس از مشاهده نفوذهای اولیه. این نشاندهنده تلاش برای کسب درآمد از دادههای دزدیده شده احتمالاً با همکاری یک بازیگر تهدید دوم است.
گوگل گفت: “در طول این تلاشهای اخاذی، بازیگر ادعای وابستگی به گروه هکری معروف ShinyHunters را داشته است، احتمالاً به عنوان روشی برای افزایش فشار بر قربانیان خود.”
همپوشانیهای UNC6040 با گروههای مرتبط با The Com از هدف قرار دادن اعتبارنامههای Okta و استفاده از مهندسی اجتماعی از طریق پشتیبانی فناوری اطلاعات ناشی میشود. این تاکتیکی است که توسط Scattered Spider، یک بازیگر تهدید دیگر با انگیزه مالی که بخشی از این مجموعه سازمانیافته است، پذیرفته شده است.
کمپین ویشینگ از چشم Salesforce دور نمانده است. این شرکت در مارس 2025 هشدار داد که بازیگران تهدید از تاکتیکهای مهندسی اجتماعی برای جعل هویت پرسنل پشتیبانی فناوری اطلاعات از طریق تلفن استفاده میکنند و کارمندان مشتریان خود را فریب میدهند تا اعتبارنامههای خود را بدهند یا برنامه Data Loader تغییریافته را تأیید کنند.
شرکت گفت: “گزارش شده که آنها کارمندان مشتریان ما و کارگران پشتیبانی شخص ثالث را به صفحات فیشینگ طراحی شده برای سرقت اعتبارنامهها و توکنهای MFA جذب میکنند یا از کاربران میخواهند به صفحه login.salesforce[.]com/setup/connect بروند تا یک برنامه متصل مخرب اضافه کنند.”
“در برخی موارد، مشاهده کردهایم که برنامه متصل مخرب نسخه تغییریافتهای از برنامه Data Loader است که با نام و/یا برند متفاوت منتشر شده است. هنگامی که بازیگر تهدید به حساب Salesforce مشتری دسترسی پیدا میکند یا برنامه متصل اضافه میکند، از برنامه متصل برای استخراج دادهها استفاده میکند.”
این تحول نه تنها پیچیدگی مداوم کمپینهای مهندسی اجتماعی را برجسته میکند، بلکه نشان میدهد که چگونه کارکنان پشتیبانی فناوری اطلاعات به طور فزایندهای به عنوان راهی برای دستیابی به دسترسی اولیه هدف قرار میگیرند.
گوگل گفت: “موفقیت کمپینهایی مانند UNC6040 که از این تاکتیکهای ویشینگ پیشرفته استفاده میکنند، نشان میدهد که این رویکرد همچنان یک بردار تهدید مؤثر برای گروههای با انگیزه مالی است که به دنبال نقض دفاعهای سازمانی هستند.”
“با توجه به بازه زمانی طولانی بین نفوذ اولیه و اخاذی، ممکن است چندین سازمان قربانی و احتمالاً قربانیان پاییندستی در هفتهها یا ماههای آینده با تقاضاهای اخاذی مواجه شوند.”
کلمات کلیدی : فیشینگ صوتی, ویشینگ, سیلزفورس, اخاذی سایبری, مهندسی اجتماعی, سرقت داده
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.