Nuove informazioni sul gruppo di aggressori UNC6040 dell'unità di analisi delle minacce di Google
In un'inquietante piega degli eventi, il gruppo minaccioso motivato finanziariamente UNC6040 ha condotto attivamente campagne di phishing vocale (vishing), prendendo di mira organizzazioni in vari settori nelle Americhe e in Europa.
La loro metodologia prevede l'abuso delle funzionalità di Data Loader tramite app collegate maliziose, spesso mascherate come varianti di Data Loader. Questa tattica è coerente con le recenti osservazioni dettagliate da Salesforce nelle loro linee guida per la protezione degli ambienti Salesforce.
Circa 20 organizzazioni sono cadute vittima della campagna di UNC6040, tra cui Chanel e Google. Le informazioni di Google suggeriscono che UNC6040 utilizza IPs Mullvad VPN per l'estrazione di dati e sono stati osservati anche l'uso di pannelli di phishing Okta.
Gli operatori di UNC6040 si spacciano per supporto IT via chiamate telefoniche e convincono i dipendenti a installare queste app collegate Salesforce modificate. L'installazione di queste app concede a UNC6040 l'accesso ai dati sensibili, bypassando qualsiasi vulnerabilità intrinseca di Salesforce e sfruttando invece la fiducia dell'utente finale.
Le attività di estorsione da parte di UNC6040 emergono spesso mesi dopo l'intrusione iniziale e si sospetta che abbiano collaborato con un secondo attore minaccioso per la monetizzazione dei dati rubati. Le informazioni di Google indicano che l'infrastruttura e le tecniche, tecnologie e procedure (TTPs) di UNC6040 si sovrappongono all'ecosistema The Com e UNC3944 / Scattered Spider fa parte dello stesso ecosistema di UNC6040.
Durante i tentativi di estorsione, UNC6040 è stato osservato rivendicare l'affiliazione a gruppi come ShinyHunters. In modo particolare, sono stati osservati anche richieste dirette dei codici di autenticazione a più fattori (MFA), una tattica che sottolinea la loro sofisticatezza e determinazione.
La campagna di UNC6040 è iniziata mesi fa e rimane attiva, servendo come un promemoria inquietante delle minacce costanti poste dai criminali informatici. Le organizzazioni sono incoraggiate a rafforzare le loro misure di sicurezza, restare vigili e informarsi sui più recenti pericoli e migliori pratiche in materia di cybersecurity.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
