Группа кибермошенников, специализирующихся на фальшивых телефонных звонках в службу IT-поддержки, напоминающих Scattered-Spider, сумела обмануть сотрудников примерно в 20 организациях. Их заставили установить модифицированную версию Salesforce Data Loader, которая позволяет преступникам красть конфиденциальные данные.
Группа Google Threat Intelligence Group (GTIG) отслеживает эту команду как UNC6040. В опубликованном исследовании говорится, что хакеры специализируются на кампаниях голосового фишинга, нацеленных на экземпляры Salesforce, для масштабной кражи данных и вымогательства.
Эти атаки начались примерно в начале года, сообщил главный аналитик по угрозам GTIG Остин Ларсен. «Наша текущая оценка показывает, что в рамках этой кампании пострадало ограниченное количество организаций, около 20. Мы видели, что UNC6040 была нацелена на гостиничный бизнес, розничную торговлю, образование и различные другие секторы в Америке и Европе», — сказал он.
Преступники выдавали себя за сотрудников техподдержки и убеждали работников англоязычных филиалов многонациональных корпораций загрузить модифицированную версию Data Loader. Это приложение Salesforce, которое позволяет пользователям экспортировать и обновлять большие объёмы данных.
«GTIG выявила некоторые совпадения между UNC6040 и деятельностью, связанной с подпольным сообществом The Com, которое включает такие группы угроз, как Scattered Spider», — отметил Ларсен.
Во время телефонных звонков с использованием социальной инженерии мошенники убеждают жертв открыть страницу настройки подключения Salesforce — эта функция позволяет другим приложениям интегрироваться с Salesforce и обмениваться данными. На странице настройки пользователю предлагается ввести восьмизначный код подключения для подключения к сторонним приложениям, UNC6040 предоставляет этот код по телефону. Его введение связывает контролируемый злоумышленником Data Loader со средой Salesforce жертвы.
Инфраструктура UNC6040, используемая для доступа к приложениям Salesforce, также размещала фишинговую панель Okta, которую используют, чтобы обманом заставить жертв зайти на сайт с мобильных телефонов или рабочих компьютеров.
«В этих взаимодействиях UNC6040 также напрямую запрашивала учётные данные пользователя и коды многофакторной аутентификации для входа и добавления приложения Salesforce Data Loader, что облегчает кражу данных и последующее горизонтальное перемещение», — говорится в отчёте Google.
В марте Salesforce опубликовала руководство о том, как клиенты могут защитить свою среду от подобных атак, включающих поддельные телефонные звонки. Компания предупреждает об использовании голосового фишинга для кражи токенов многофакторной аутентификации и обмана жертв с целью установки модифицированных версий Data Loader.
Теперь UNC6040 перемещается по сети, получая доступ и похищая конфиденциальную информацию с других платформ, включая Okta, Workplace и Microsoft 365.
В некоторых случаях вымогательство начиналось через несколько месяцев после взлома. «Это может означать, что UNC6040 сотрудничал со вторым субъектом угроз, который монетизирует доступ к украденным данным», — сказал Ларсен.
В Salesforce заявили: «Компания предлагает встроенную в каждую часть нашей платформы корпоративную безопасность, и нет никаких указаний на то, что описанная проблема возникает из-за какой-либо уязвимости сервисов».
Сама компания в конце мая купила фирму в сфере управления облачными данными Informatica за $8 млрд, чтобы укрепить свои возможности в сфере искусственного интеллекта и инфраструктуры данных.
Источник: habr.com