فیشینگ صوتی UNC6040: گوگل راز حمله به Salesforce با Data Loader تقلبی را فاش کرد!

افشای گروه فیشینگ صوتی UNC6040 توسط گوگل که Salesforce را با برنامه تقلبی Data Loader هدف قرار می‌دهد. به گزارش زوم تک به نقل از The Hacker News، گوگل جزئیاتی را در مورد یک گروه تهدیدگر با انگیزه مالی فاش کرده است که به گفته این شرکت، در کمپین‌های فیشینگ صوتی (که به آن ویشینگ نیز گفته می‌شود) “تخصص” دارد. این کمپین‌ها برای نفوذ به سیستم‌های Salesforce سازمان‌ها با هدف سرقت گسترده داده‌ها و سپس اخاذی طراحی شده‌اند.

تیم اطلاعات تهدید این غول فناوری، فعالیت این گروه را تحت عنوان UNC6040 ردیابی می‌کند. گوگل اعلام کرده است که این گروه ویژگی‌هایی را از خود نشان می‌دهد که با گروه‌های تهدیدگر مرتبط با یک گروه سایبری آنلاین به نام The Com همسو است.

این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته، گفته است: “در طول چندین ماه گذشته، UNC6040 موفقیت‌های مکرری را در نفوذ به شبکه‌ها از طریق جعل هویت پرسنل پشتیبانی فناوری اطلاعات در تعاملات متقاعدکننده مهندسی اجتماعی تلفنی نشان داده است.”

گروه اطلاعات تهدید گوگل (GTIG) اضافه کرد که این رویکرد باعث فریب کارمندان انگلیسی‌زبان برای انجام اقداماتی شده است که به مهاجمان دسترسی می‌دهد یا منجر به اشتراک‌گذاری اطلاعات ارزشمند مانند اطلاعات کاربری می‌شود که سپس برای تسهیل سرقت داده‌ها استفاده می‌شوند.

یکی از جنبه‌های قابل توجه فعالیت‌های UNC6040، استفاده از نسخه اصلاح‌شده Data Loader شرکت Salesforce است که قربانیان فریب داده می‌شوند تا در طول حمله ویشینگ، آن را برای اتصال به پورتال Salesforce سازمان خود تأیید کنند. Data Loader برنامه‌ای است که برای واردات، صادرات و به‌روزرسانی انبوه داده‌ها در پلتفرم Salesforce استفاده می‌شود.

به طور خاص، مهاجمان قربانی را به بازدید از صفحه تنظیمات برنامه متصل Salesforce هدایت می‌کنند و نسخه اصلاح‌شده برنامه Data Loader را که دارای نام یا برند متفاوت (مثلاً “My Ticket Portal”) از نمونه قانونی آن است، تأیید می‌کنند. این عمل به آنها دسترسی غیرمجاز به محیط‌های مشتری Salesforce و استخراج داده‌ها را می‌دهد.

فراتر از از دست دادن داده‌ها، این حملات به عنوان سکویی برای UNC6040 عمل می‌کند تا به صورت جانبی در شبکه قربانی حرکت کند و سپس به اطلاعات پلتفرم‌های دیگر مانند Okta، Workplace و Microsoft 365 دسترسی پیدا کرده و آنها را جمع‌آوری کند.

حوادث منتخب نیز شامل فعالیت‌های اخاذی بوده است، اما تنها “چندین ماه” پس از مشاهده نفوذهای اولیه، که نشان‌دهنده تلاشی برای کسب درآمد و سود از داده‌های سرقت شده است که احتمالاً با همکاری یک عامل تهدید دوم صورت می‌گیرد.

گوگل گفت: “در طول این تلاش‌های اخاذی، عامل ادعای وابستگی به گروه هکری شناخته شده ShinyHunters را داشته است، که احتمالاً روشی برای افزایش فشار بر قربانیانشان بوده است.”

همپوشانی UNC6040 با گروه‌های مرتبط با The Com ناشی از هدف قرار دادن اطلاعات کاربری Okta و استفاده از مهندسی اجتماعی از طریق پشتیبانی فناوری اطلاعات است، تاکتیکی که توسط Scattered Spider، یکی دیگر از عاملان تهدید با انگیزه مالی که بخشی از این گروه سازمان‌یافته غیرمتمرکز است، پذیرفته شده است.

کمپین ویشینگ از دید Salesforce پنهان نمانده است، که در مارس 2025 هشدار داد که عوامل تهدید از تاکتیک‌های مهندسی اجتماعی برای جعل هویت پرسنل پشتیبانی فناوری اطلاعات از طریق تلفن و فریب کارمندان مشتریان خود برای دادن اطلاعات کاربری یا تأیید برنامه Data Loader اصلاح‌شده استفاده می‌کنند.

این شرکت گفت: “گزارش شده است که آنها کارمندان مشتریان و کارکنان پشتیبانی شخص ثالث ما را به صفحات فیشینگ طراحی شده برای سرقت اطلاعات کاربری و توکن‌های MFA فریب می‌دهند یا از کاربران می‌خواهند به صفحه login.salesforce[.]com/setup/connect مراجعه کنند تا یک برنامه متصل مخرب را اضافه کنند.”

“در برخی موارد، ما مشاهده کرده‌ایم که برنامه متصل مخرب، نسخه اصلاح‌شده‌ای از برنامه Data Loader است که تحت نام و/یا برند متفاوتی منتشر شده است. هنگامی که عامل تهدید به حساب Salesforce مشتری دسترسی پیدا می‌کند یا یک برنامه متصل را اضافه می‌کند، از برنامه متصل برای استخراج داده‌ها استفاده می‌کند.”

این پیشرفت نه تنها پیچیدگی مداوم کمپین‌های مهندسی اجتماعی را برجسته می‌کند، بلکه نشان می‌دهد که چگونه کارکنان پشتیبانی فناوری اطلاعات به طور فزاینده‌ای به عنوان راهی برای دستیابی به دسترسی اولیه هدف قرار می‌گیرند.

گوگل گفت: “موفقیت کمپین‌هایی مانند UNC6040، با استفاده از این تاکتیک‌های ویشینگ اصلاح‌شده، نشان می‌دهد که این رویکرد یک بردار تهدید مؤثر برای گروه‌های با انگیزه مالی است که به دنبال نفوذ به دفاع سازمانی هستند.”

“با توجه به بازه زمانی طولانی بین سازش اولیه و اخاذی، ممکن است سازمان‌های قربانی متعدد و احتمالاً قربانیان پایین‌دست در هفته‌ها یا ماه‌های آینده با درخواست‌های اخاذی مواجه شوند.”