MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Исследователи Google Threat Intelligence Group (GTIG) зафиксировали новую серию атак, в ходе которых киберпреступники убеждают сотрудников компаний устанавливать вредоносную версию загрузчика данных Salesforce. По данным GTIG, группа, известная как UNC6040, использует поддельные звонки от имени технической поддержки, чтобы внедрить в инфраструктуру жертв специально модифицированное приложение.
Нацеленные атаки затронули около 20 организаций в сферах гостиничного бизнеса, ритейла и образования на территории Северной и Южной Америки, а также Европы. Жертвами становились сотрудники англоязычных подразделений крупных корпораций, которых убеждали загрузить измененную версию Data Loader — инструмента Salesforce для массовой обработки данных.
Аналитика GTIG Остина Ларсена сообщил The Register, что действия UNC6040 напоминают тактику группировки Scattered Spider, но эксперты отмечают, что это самостоятельная киберпреступная группа, хотя и с частичным пересечением с сообществом The Com.
Атака начинается с телефонного звонка, в ходе которого мошенники, выдавая себя за ИТ-специалистов, просят сотрудников открыть настройки Salesforce Connect и ввести выданный по телефону код. Этот код активирует связанный с атакующими загрузчик данных, обеспечивая злоумышленникам прямой доступ к системе.
Дополнительно UNC6040 применяет фишинговые страницы, имитирующие интерфейсы Okta, чтобы выманить у жертв пароли и коды многофакторной аутентификации. Получив доступ, злоумышленники не только похищают данные из Salesforce, но и перемещаются внутри сети, скомпрометировав учетные записи в других корпоративных системах, таких как Microsoft 365 и Workplace.
Иногда шантаж начинается лишь спустя месяцы после атаки — вероятно, киберпреступники перепродают доступ третьим лицам. Однако, по утверждению GTIG, прямого применения программ-вымогателей в рамках данной кампании пока не зафиксировано.
Компания Salesforce уже опубликовала рекомендации по защите от подобных атак и подчеркнула, что уязвимости в самой платформе не обнаружено. Вендор отмечает, что основную опасность представляют не технические сбои, а слабая осведомленность сотрудников о методах социальной инженерии.
Нацеленные атаки затронули около 20 организаций в сферах гостиничного бизнеса, ритейла и образования на территории Северной и Южной Америки, а также Европы. Жертвами становились сотрудники англоязычных подразделений крупных корпораций, которых убеждали загрузить измененную версию Data Loader — инструмента Salesforce для массовой обработки данных.
Аналитика GTIG Остина Ларсена сообщил The Register, что действия UNC6040 напоминают тактику группировки Scattered Spider, но эксперты отмечают, что это самостоятельная киберпреступная группа, хотя и с частичным пересечением с сообществом The Com.
Атака начинается с телефонного звонка, в ходе которого мошенники, выдавая себя за ИТ-специалистов, просят сотрудников открыть настройки Salesforce Connect и ввести выданный по телефону код. Этот код активирует связанный с атакующими загрузчик данных, обеспечивая злоумышленникам прямой доступ к системе.
Дополнительно UNC6040 применяет фишинговые страницы, имитирующие интерфейсы Okta, чтобы выманить у жертв пароли и коды многофакторной аутентификации. Получив доступ, злоумышленники не только похищают данные из Salesforce, но и перемещаются внутри сети, скомпрометировав учетные записи в других корпоративных системах, таких как Microsoft 365 и Workplace.
Иногда шантаж начинается лишь спустя месяцы после атаки — вероятно, киберпреступники перепродают доступ третьим лицам. Однако, по утверждению GTIG, прямого применения программ-вымогателей в рамках данной кампании пока не зафиксировано.
Компания Salesforce уже опубликовала рекомендации по защите от подобных атак и подчеркнула, что уязвимости в самой платформе не обнаружено. Вендор отмечает, что основную опасность представляют не технические сбои, а слабая осведомленность сотрудников о методах социальной инженерии.
