Группа Google Threat Intelligence Group в опубликованном в среду отчете об угрозах заявила, что финансово мотивированная группа злоумышленников, выдавая себя за службу ИТ-поддержки, проникла в системы около 20 организаций, обманным путем заставив сотрудников установить вредоносную, нелегальную версию Salesforce Data Loader и предоставить им расширенный доступ к облачным средам .
Атаки, которым Google приписывает UNC6040, затронули организации сферы гостеприимства, розничной торговли и образования по всей Америке и Европе, что привело к краже данных и вымогательству.
«Наша текущая оценка показывает, что в ходе этой кампании пострадало ограниченное количество организаций, около 20», — сообщил CyberScoop в электронном письме Остин Ларсен, главный аналитик угроз в Google Threat Intelligence Group. «Мы отслеживаем как минимум несколько попыток вымогательства, но не можем сказать, сколько из них были успешными».
Внедрение организациями широкой интеграции и привилегированного доступа к нескольким облачным сервисам в корпоративных средах — в сочетании с поддержкой сервисов единого входа, таких как Okta, и протоколов аутентификации, таких как OAuth — увеличивает риск атак на основе идентификационных данных.
По данным Google, злоумышленники получили доступ к сетям жертв, звоня определенным сотрудникам по телефону и убеждая их установить и одобрить вредоносное приложение Salesforce, раскрывая при этом конфиденциальные учетные данные и коды многофакторной аутентификации.
Исследователи утверждают, что UNC6040 использовал этот доступ для кражи данных из среды Salesforce организации-жертвы, а затем инициировал горизонтальное перемещение для кражи данных с других подключенных платформ, включая Okta, Microsoft 365 и Workplace.
«Salesforce использует корпоративную систему безопасности, встроенную в каждую часть нашей платформы, и нет никаких признаков того, что описанная проблема связана с какой-либо уязвимостью, присущей нашим сервисам», — заявил представитель Salesforce. «Атаки, подобные голосовому фишингу, — это целенаправленные мошеннические схемы с использованием социальной инженерии, призванные эксплуатировать пробелы в знаниях пользователей о кибербезопасности и их знания передовых методов».
Google заявила, что тактика социальной инженерии этой группы и её первоначальная ориентация на англоговорящих пользователей в международных компаниях имеют сходство с деятельностью, связанной с участниками « The Com », что указывает на потенциальное совпадение и связь с глобальным сообществом слабо связанных киберпреступников. Тем не менее, исследователи отметили, что UNC6040 уникален тем, что ориентирован на кражу данных из сред Salesforce.
Злоумышленники используют фишинговые приманки, звоня определенным лицам, выдавая себя за IT-администраторов, предлагающих поддержку по якобы общим IT-проблемам. Согласно данным Google, в UNC6040 проблема связана с несуществующим открытым тикетом в службу поддержки, к которому жертва не может получить доступ из-за системных различий.
Исследователи утверждают, что затем жертву направляют на фишинговый сайт или поддельную страницу «Salesforce Setup Connect», где для закрытия тикета требуется ввести восьмизначный код.
Введя и подтвердив код на своем мобильном устройстве или компьютере, жертвы невольно подтверждают доступ к UNC6040 через OAuth и добавляют вредоносное приложение в свой экземпляр Salesforce.
Компания Salesforce, которая считает, что безопасность — это общая ответственность, в руководстве, опубликованном в блоге в начале этого года, предупредила клиентов об угрозах, исходящих от атак с использованием социальной инженерии .
Атаки, которым Google приписывает UNC6040, затронули организации сферы гостеприимства, розничной торговли и образования по всей Америке и Европе, что привело к краже данных и вымогательству.
«Наша текущая оценка показывает, что в ходе этой кампании пострадало ограниченное количество организаций, около 20», — сообщил CyberScoop в электронном письме Остин Ларсен, главный аналитик угроз в Google Threat Intelligence Group. «Мы отслеживаем как минимум несколько попыток вымогательства, но не можем сказать, сколько из них были успешными».
Внедрение организациями широкой интеграции и привилегированного доступа к нескольким облачным сервисам в корпоративных средах — в сочетании с поддержкой сервисов единого входа, таких как Okta, и протоколов аутентификации, таких как OAuth — увеличивает риск атак на основе идентификационных данных.
По данным Google, злоумышленники получили доступ к сетям жертв, звоня определенным сотрудникам по телефону и убеждая их установить и одобрить вредоносное приложение Salesforce, раскрывая при этом конфиденциальные учетные данные и коды многофакторной аутентификации.
Исследователи утверждают, что UNC6040 использовал этот доступ для кражи данных из среды Salesforce организации-жертвы, а затем инициировал горизонтальное перемещение для кражи данных с других подключенных платформ, включая Okta, Microsoft 365 и Workplace.
«Salesforce использует корпоративную систему безопасности, встроенную в каждую часть нашей платформы, и нет никаких признаков того, что описанная проблема связана с какой-либо уязвимостью, присущей нашим сервисам», — заявил представитель Salesforce. «Атаки, подобные голосовому фишингу, — это целенаправленные мошеннические схемы с использованием социальной инженерии, призванные эксплуатировать пробелы в знаниях пользователей о кибербезопасности и их знания передовых методов».
Google заявила, что тактика социальной инженерии этой группы и её первоначальная ориентация на англоговорящих пользователей в международных компаниях имеют сходство с деятельностью, связанной с участниками « The Com », что указывает на потенциальное совпадение и связь с глобальным сообществом слабо связанных киберпреступников. Тем не менее, исследователи отметили, что UNC6040 уникален тем, что ориентирован на кражу данных из сред Salesforce.
Злоумышленники используют фишинговые приманки, звоня определенным лицам, выдавая себя за IT-администраторов, предлагающих поддержку по якобы общим IT-проблемам. Согласно данным Google, в UNC6040 проблема связана с несуществующим открытым тикетом в службу поддержки, к которому жертва не может получить доступ из-за системных различий.
Исследователи утверждают, что затем жертву направляют на фишинговый сайт или поддельную страницу «Salesforce Setup Connect», где для закрытия тикета требуется ввести восьмизначный код.
Введя и подтвердив код на своем мобильном устройстве или компьютере, жертвы невольно подтверждают доступ к UNC6040 через OAuth и добавляют вредоносное приложение в свой экземпляр Salesforce.
Компания Salesforce, которая считает, что безопасность — это общая ответственность, в руководстве, опубликованном в блоге в начале этого года, предупредила клиентов об угрозах, исходящих от атак с использованием социальной инженерии .
