Google Exposes Vishing Group UNC6040 Targeting Salesforce with Fake Data Loader App
2025/06/04 TheHackerNews — Salesforce ポータルを悪用し、金銭を目的とした侵害を繰り返す、脅威クラスターの詳細について Google が情報を公開した。この脅威クラスターが専門としているのは、企業の Salesforce インスタンスに侵入し、大規模なデータ窃取と恐喝を目的とする、ヴィッシング (Vishing:Voice Phishing) キャンペーンである。
Google の Threat Intelligence Team は、この活動を UNC6040 という名称で追跡している。そして、オンライン・サイバー犯罪集団 The Com とつながりのある脅威グループと、UNC6040 が一致するという情報を示している。
Google は、「これまでの数ヶ月にわたり UNC6040 は、IT サポート担当者を装う悪意のオペレーターの電話により、説得力のあるソーシャル・エンジニアリング攻撃を行い、ネットワークへの侵入を繰り返して成功させてきた」と、The Hacker News に共有したレポートで述べている。
Google の Threat Intelligence Group (GTIG) は、「この手法は英語圏の従業員を騙して行動を取らせ、認証情報などの貴重な情報を共有させるものであり、その後におけるデータへのアクセスや窃取で、それらの機密情報を悪用するものだ」と付け加えている。
UNC6040 の活動で注目すべき点は、フィッシング攻撃中において、ユーザー組織の Salesforce ポータルに接続するために、Salesforce のデータ・ローダーの改変版を使用するところにある。このデータ・ローダーは、Salesforce プラットフォーム内でデータを一括して、インポート/エクスポート/アップデートするために用いられるアプリケーションである。
具体的に言うと、Salesforce の接続アプリケーション設定ページへと標的にアクセスさせた攻撃者は、正規のアプリケーションとは異なる名前やブランド (例:My Tickt Portal) を持つ、改変版のデータ・ローダー・アプリを承認させる。この行為により、攻撃者は Salesforce の顧客環境への不正アクセスを達成し、データ窃取を可能にする。
これらの攻撃はデータ流出を引き起こすが、さらに UNC6040 は、被害者のネットワークを横方向に移動するための足掛かりを作り出し、Okta/Workplace/Microsoft 365 などのプラットフォームの情報へのアクセスと収集を達成する。
一部のインシデントには恐喝行為も含まれていたが、最初の侵入が確認されてから、すでに数か月が経っている。したがって、おそらく他の脅威アクターと提携して、盗んだデータから金銭を得ようとしたと示唆される。
Google は、「これらの恐喝行為において、この脅威アクターは、著名なハッカー・グループ ShinyHunters とのつながりを主張している。おそらく、被害者へのプレッシャーを高める手段だと考えられる」と述べている。
UNC6040 と The Com と関連グループにおける重複の要因は、Okta の認証情報に対する標的化と、IT サポートを介したソーシャル・エンジニアリングに起因している。この戦術は、緩やかな組織集団を構成する、金銭目的の別の脅威アクター Scattered Spider が用いるものだ。
このフィッシング攻撃キャンペーンに対して、Salesforce が見逃すことはなかった。2025年3月の時点で同社は、IT サポート担当者を装うソーシャル・エンジニアリングついて警告を発していた。その手口は、電話で顧客の従業員を騙して認証情報を提供させ、改変されたデータ・ローダー・アプリを承認させるものである。
同社は、「脅威アクターは、認証情報や MFA トークンを盗むために設計されたフィッシング・ページへと、ユーザー企業の従業員やサード・パーティのサポート担当者を誘導し、”login.salesforce[.]com/setup/connect” ページへの移動を促すことで、悪意の接続アプリを追加させていた」と述べている。
さらに同社は、「それらの悪意の接続アプリは、別の名前やブランドで公開された、データ・ローダー・アプリの改変版であったことも確認されている。この悪意の接続アプリを介して、脅威アクターは顧客の Salesforce アカウントへのアクセスや、データの窃取を行っていた」と付け加えている。
この展開が浮き彫りにするのは、ソーシャル・エンジニアリング攻撃の巧妙化の進化だけではなく、イニシャル・アクセス手段としての IT サポート・スタッフの標的化がトレンドになっていることである。
Google は、「UNC6040のような、洗練されたフィッシング攻撃手法を駆使する攻撃の成功は、金銭目的のために企業の防御ラインを突破しようとするグループにとって、この手法が依然として有効な脅威ベクターであることを示している」と述べている。
さらに Google は、「最初の侵入から恐喝までの期間が長いことを考えると、今後の数週間から数ヶ月の間に、複数の組織に被害がおよび、また、そその下流の被害者が恐喝の要求に直面する可能性も出てくるだろう」と付け加えている。
Google が公表した、ソーシャル・エンジニアリング攻撃の巧妙さと危険性に関するレポートを、The Hacker News が解りやすく解説してくれました。Salesforceなどの信頼性あるサービスを狙う手口が、横行しているようです。ご利用のチームは、ご注意ください。よろしければ、Vishing で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.