Вы не заметите, как отдадите всё — хакеры подменили Data Loader и диктуют бизнесу свои условия
NewsMakerАлло, мы из Salesforce. Установите вирус, пожалуйста.
Новость о хакерах UNC6040 Хакеры, действующие под кодовым именем UNC6040, стали фигурантами расследования команды Google Threat Intelligence Group из-за серии успешных атак на корпоративные среды Salesforce. Главный приём, который они используют — фишинг через голосовые звонки, или вишинг . С его помощью злоумышленники убеждают сотрудников компаний установить поддельную версию Data Loader — легитимного инструмента Salesforce для массовой загрузки данных.
Сценарий атаки начинается с звонка: сотрудника просят перейти на якобы официальный сайт подключения приложений Salesforce. Там предлагается подтвердить доступ для программы, выдающей себя за Data Loader, но на самом деле созданной самими хакерами . Как только приложение установлено, атакующие получают прямой доступ к конфиденциальным данным компании в Salesforce, могут выполнять запросы и выгружать информацию.
И этим дело не ограничивается. Полученные права зачастую позволяют злоумышленникам перемещаться дальше по корпоративной сети, атаковать другие облачные сервисы и даже проникать во внутренние IT-системы организации.
Mandiant, подразделение Google, напрямую заявляет: UNC6040 — это финансово мотивированная группировка , специализирующаяся на вишинге и краже данных из Salesforce-экосистем. Их инфраструктура, по данным исследователей, пересекается с сообществом The Com — разрозненной криминальной экосистемой, объединяющей малые группировки, некоторые из которых также причастны к насильственным действиям.
По данным Google, от атак UNC6040 пострадали около 20 организаций. В ряде случаев злоумышленникам действительно удалось вывести чувствительные данные. Одной из жертв стал один из крупнейших дистрибьюторов Coca-Cola в Великобритании — Coca-Cola Europacific Partners. При этом, по предварительным данным, ИТ-системы Coca-Cola не были скомпрометированы напрямую: доступ к 64 ГБ данных был получен через взлом их Salesforce-учётки.
Представители Salesforce уже в марте предупреждали о возможных атаках с использованием модифицированной версии Data Loader. В ответ на последние инциденты компания подчеркнула, что не выявила уязвимостей в своей платформе. По их словам, атаки основываются исключительно на социальной инженерии и недостаточной киберграмотности отдельных сотрудников. Хотя Salesforce отказалась раскрыть точное число пострадавших клиентов, в компании настаивают: речь идёт лишь о небольшом числе организаций, а не о масштабной угрозе.
Тем не менее, кейс с UNC6040 показывает, насколько опасной может быть комбинация голосового фишинга и поддельных инструментов доступа. Он также поднимает вопросы о достаточности обучающих программ для сотрудников и необходимости контроля за сторонними приложениями в облачных экосистемах.
Сценарий атаки начинается с звонка: сотрудника просят перейти на якобы официальный сайт подключения приложений Salesforce. Там предлагается подтвердить доступ для программы, выдающей себя за Data Loader, но на самом деле созданной самими хакерами . Как только приложение установлено, атакующие получают прямой доступ к конфиденциальным данным компании в Salesforce, могут выполнять запросы и выгружать информацию.
И этим дело не ограничивается. Полученные права зачастую позволяют злоумышленникам перемещаться дальше по корпоративной сети, атаковать другие облачные сервисы и даже проникать во внутренние IT-системы организации.
Mandiant, подразделение Google, напрямую заявляет: UNC6040 — это финансово мотивированная группировка , специализирующаяся на вишинге и краже данных из Salesforce-экосистем. Их инфраструктура, по данным исследователей, пересекается с сообществом The Com — разрозненной криминальной экосистемой, объединяющей малые группировки, некоторые из которых также причастны к насильственным действиям.
По данным Google, от атак UNC6040 пострадали около 20 организаций. В ряде случаев злоумышленникам действительно удалось вывести чувствительные данные. Одной из жертв стал один из крупнейших дистрибьюторов Coca-Cola в Великобритании — Coca-Cola Europacific Partners. При этом, по предварительным данным, ИТ-системы Coca-Cola не были скомпрометированы напрямую: доступ к 64 ГБ данных был получен через взлом их Salesforce-учётки.
Представители Salesforce уже в марте предупреждали о возможных атаках с использованием модифицированной версии Data Loader. В ответ на последние инциденты компания подчеркнула, что не выявила уязвимостей в своей платформе. По их словам, атаки основываются исключительно на социальной инженерии и недостаточной киберграмотности отдельных сотрудников. Хотя Salesforce отказалась раскрыть точное число пострадавших клиентов, в компании настаивают: речь идёт лишь о небольшом числе организаций, а не о масштабной угрозе.
Тем не менее, кейс с UNC6040 показывает, насколько опасной может быть комбинация голосового фишинга и поддельных инструментов доступа. Он также поднимает вопросы о достаточности обучающих программ для сотрудников и необходимости контроля за сторонними приложениями в облачных экосистемах.