Selon le Google Threat Intelligence Group (GTIG), le groupe de menace UNC6040 mène des campagnes de vishing pour compromettre les instances Salesforce des entreprises, avec pour objectif le vol de données à grande échelle et l’extorsion. Ce groupe, motivé par des gains financiers, a réussi à tromper des employés en se faisant passer pour le support informatique lors d’appels téléphoniques convaincants.
Les attaques d’UNC6040 consistent principalement à manipuler les victimes pour qu’elles autorisent une application connectée malveillante sur le portail Salesforce de leur organisation. Cette application, souvent une version modifiée du Data Loader de Salesforce, n’est pas autorisée par Salesforce. Lors d’un appel de vishing, l’attaquant guide la victime pour qu’elle approuve cette application, ce qui permet à UNC6040 d’accéder et d’exfiltrer des informations sensibles directement depuis les environnements clients Salesforce compromis.
Dans certains cas, les activités d’extorsion n’ont été observées que plusieurs mois après l’intrusion initiale, suggérant une possible collaboration avec un autre acteur de menace pour monétiser l’accès aux données volées. Pendant ces tentatives d’extorsion, UNC6040 a revendiqué une affiliation avec le groupe de hackers bien connu ShinyHunters, probablement pour accroître la pression sur les victimes.
Cet article est une analyse de menace visant à informer sur les méthodes employées par UNC6040 et à souligner l’importance de la vigilance face aux attaques de vishing ciblant les systèmes Salesforce.
🧠 TTP et IOC détecté
TTP
Social Engineering (T1566.001), Application Layer Protocol (T1071), Data from Information Repositories (T1213), Exfiltration Over Web Service (T1567.002), Remote Access Software (T1219), User Execution (T1204)
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion