Google威胁情报小组(GTIG)表示,网络威胁组织UNC6040正在利用Salesforce实例实施语音钓鱼攻击。此次调查涉及以金钱为目的的数据窃取组织活动。
据GTIG称,UNC6040通过引导安装非官方的伪装连接应用程序来窃取企业数据。攻击者假装成IT支持打电话给受害者,并诱导其安装伪装成Salesforce数据加载器的恶意应用程序。
他们不是通过Salesforce系统的技术漏洞,而是通过操控终端用户信任的方法进行攻击。攻击目标涉及美国和欧洲的旅游、零售、教育等多个行业,目前已有约20个组织受到影响。
在某些情况下,入侵后几个月才进行敲诈活动。GTIG分析称,UNC6040与其他犯罪组织合作,以商业用途利用数据。据了解,攻击者声称与“ShinyHunters”有联系,以此扩大对受害者的压力。
GTIG表示,UNC6040的攻击基础设施和战术与“网络犯罪联盟”(The Com)一致。其中还包括类似“分散间谍”(UNC3994)的其他犯罪组织。这些组织通过钓鱼页面要求输入多因素认证信息,或使用Mullvad VPN IP尝试数据泄露。
GTIG强调,此次攻击仍在进行中,企业需要注意强化用户教育和访问管理。