Новая волна голосового фишинга: как UNC6040 атакует Salesforce и корпоративные сети
Google Threat Intelligence Group (GTIG) обнаружила новый финансово мотивированный кластер угроз — UNC6040, который проводит целенаправленные голосовые фишинговые атаки на организации, использующие Salesforce. Злоумышленники применяют социальную инженерию, выдавая себя за сотрудников IT-поддержки, чтобы обманом получить доступ к конфиденциальным данным корпоративных систем.
Методика атак UNC6040
Ключевой вектор атаки — звонки сотрудникам организаций, преимущественно из англоязычных регионов, с целью заставить их авторизовать вредоносное подключенное приложение (connected app) в Salesforce. Это приложение является изменённой версией стандартного Data Loader, что позволяет хакерам получить широкий доступ к данным в системах жертв.
- Жертва получает телефонный звонок, в ходе которого злоумышленник представляется сотрудником IT-службы поддержки.
- Её убеждают перейти на страницу настройки Salesforce connected app и разрешить доступ для мошеннического приложения.
- После этого UNC6040 получает возможность извлекать и манипулировать данными из скомпрометированных инстансов Salesforce.
Данная кампания подчёркивает растущую тенденцию атак, направленных на ИТ-персонал, поскольку именно через них преступники получают доступ к ценной информации компании.
Расширение масштабов атаки
После первоначального взлома UNC6040 не ограничивается Salesforce. В их арсенале также есть методы для перемещения по корпоративной сети и кражи данных из других сервисов, включая Okta и Microsoft 365. Для этого группа использует специализированную фишинговую инфраструктуру, оборудованную панелью управления для Okta, позволяющей напрямую собирать учетные данные пользователей и даже коды многофакторной аутентификации (MFA).
Кроме того, для сокрытия своей активности и обхода систем безопасности злоумышленники применяют VPN-сервисы, такие как Mullvad, что усложняет расследование и блокировку атак.
Отмечается, что методы и тактики UNC6040 схожи с другими финансово мотивированными киберпреступными группами, что может свидетельствовать о существовании широких связей и координации между этими сообществами.
Рекомендации GTIG по защите организаций
В ответ на активность группы UNC6040 специалисты GTIG рекомендуют внедрять комплексный подход к обеспечению безопасности, включающий следующие меры:
- Принцип наименьших привилегий: ограничивать доступ к инструментам, таким как Data Loader, только для необходимых пользователей.
- Строгий контроль подключенных приложений: вводить процедуры утверждения, ограничивать полномочия и внимательно следить за всеми установками connected app.
- Ограничения по IP-адресам: использовать white-list для управления точками доступа, что уменьшит риски несанкционированного подключения.
- Расширенные функции безопасности: активировать Salesforce Shield для мониторинга активности и получения своевременных оповещений о подозрительных действиях.
- Надежная многофакторная аутентификация (MFA): обеспечить, чтобы даже при успешной социальной инженерии злоумышленник не смог получить доступ без второго фактора.
- Регулярные обзоры и обновления политики безопасности: поддерживать адекватный уровень защиты в условиях эволюции угроз.
Следуя этим рекомендациям, организации смогут значительно снизить риски успешных атак, подобных кампании UNC6040, и защитить корпоративные данные от злоумышленников.
Источники: Google Threat Intelligence Group
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNC6040: голосовой фишинг и атаки на Salesforce в финансовой сфере".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.