サイバー犯罪の最前線からの観察:UNC6040によるプロアク... ノート

サイバー犯罪の最前線からの観察:UNC6040によるプロアクティブな強化策の推奨

UNC6040は、ボイスフィッシングを利用してSalesforceを侵害し、データの窃盗と恐喝を行う脅威クラスターです。彼らはITサポートになりすまし、従業員を騙してアクセス権を付与させたり、認証情報を共有させたりします。一般的な戦術として、ユーザーにSalesforceのData Loaderの悪意のある改変版を承認させるというものがあります。この不正なアプリにより、攻撃者は機密性の高いSalesforceデータにアクセスし、クエリを実行し、持ち出すことができます。恐喝の試みは数ヶ月後に発生することもあり、攻撃者はShinyHuntersとの関連を主張します。UNC6040は、Mullvad VPNを運用に使用し、高いSaaSアクセス権を持つユーザーを標的とします。これらの攻撃から身を守るために、組織はサポートリクエストに対して、堅牢で多層的な本人確認を実装する必要があります。これには、ライブビデオ証明と、リスクの高い変更に対する帯域外確認が含まれます。サードパーティベンダーからのリクエストについては、ヘルプデスクは信頼できる連絡先情報を通じてベンダーを独立して確認する必要があります。エンドユーザーは、サードパーティからのすべてのリクエストを徹底的に確認し、不審な通信を報告するように教育されるべきです。組織は、Entra IDやOktaのような中央のIDプロバイダーを通じて、統一されたIDセキュリティ制御を強制する必要があります。これには、フィッシング耐性のある多要素認証とデバイス信頼ポリシーの実装が含まれます。すべてのSaaSアプリケーションへのアクセスにはシングルサインオン(SSO)を義務付け、プラットフォームネイティブアカウントは緊急時のブレークグラスシナリオにのみ使用する必要があります。フィッシング耐性のあるMFA(FIDO2キーなど)は、SaaSアプリケーションにアクセスするすべてのユーザーにとって不可欠です。デバイスコンプライアンスチェックにより、安全なデバイスのみが企業のアプリケーションにアクセスできるようになります。
CdXz5zHNQW_i3M3Pp434Y.png