Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Оперативный отчет ФБР UNC6040 и UNC6395: кражи данных Salesforce

3 мин
ФБР опубликовало оперативный отчет, в котором описана деятельность двух киберпреступных группировок — UNC6040 и UNC6395. В центре внимания — целенаправленные кражи данных и вымогательства, связанные с платформой Salesforce. Отчет призван повысить осведомленность и предоставить IOCs (индикаторы компрометации), чтобы помочь специалистам по кибербезопасности эффективно противодействовать этим угрозам. UNC6040 действует с октября 2024 года. Основной вектор их атак — социальная инженерия, в частности vishing (голосовой фишинг). Преступники выдают себя за сотрудников ИТ‑службы поддержки и через колл‑центры убеждают сотрудников целевых организаций выполнить действия, которые в конечном итоге дают злоумышленникам доступ к учетным записям Salesforce и последующую эксфильтрацию конфиденциальных данных клиентов. UNC6395 была активна в кампании по краже данных, нацеленной на Salesforce, с августа 2025 года. Эта группа использует скомпрометированные токены OAuth, связанные с приложением Salesloft D
Оглавление

ФБР опубликовало оперативный отчет, в котором описана деятельность двух киберпреступных группировок — UNC6040 и UNC6395. В центре внимания — целенаправленные кражи данных и вымогательства, связанные с платформой Salesforce. Отчет призван повысить осведомленность и предоставить IOCs (индикаторы компрометации), чтобы помочь специалистам по кибербезопасности эффективно противодействовать этим угрозам.

Кто такие UNC6040 и UNC6395?

UNC6040 действует с октября 2024 года. Основной вектор их атак — социальная инженерия, в частности vishing (голосовой фишинг). Преступники выдают себя за сотрудников ИТ‑службы поддержки и через колл‑центры убеждают сотрудников целевых организаций выполнить действия, которые в конечном итоге дают злоумышленникам доступ к учетным записям Salesforce и последующую эксфильтрацию конфиденциальных данных клиентов.

UNC6395 была активна в кампании по краже данных, нацеленной на Salesforce, с августа 2025 года. Эта группа использует скомпрометированные токены OAuth, связанные с приложением Salesloft Drift (чат‑бот с ИИ, интегрируемый с Salesforce). С помощью таких токенов злоумышленники получают несанкционированный доступ к информации о клиентах, хранящейся в учетных записях Salesforce.

Тактики и механизмы атак

  • UNC6040:Социальная инженерия через колл‑центры и телефонные звонки;
    Имитация сотрудников технической поддержки для убеждения пользователей выполнять действия, раскрывающие учетные данные или предоставляющие доступ;
    Доступ к экземплярам Salesforce и эксфильтрация данных клиентов.
  • UNC6395:Эксплуатация скомпрометированных OAuth‑токенов, связанных с интеграционными приложениями (в частности Salesloft Drift);
    Использование легитимных интеграций для обхода традиционных мер защиты и доступа к данным в Salesforce;
    Целенаправленная эксфильтрация информации о клиентах.

Почему это особенно опасно

Обе группировки демонстрируют тенденцию: злоумышленники активно используют легитимные платформы и интеграции для получения доступа, что затрудняет обнаружение атак традиционными средствами. Комбинация социальной инженерии и компрометации OAuth‑интеграций позволяет обходить защиту без явного взлома паролей или эксплуатации уязвимостей в коде.

Роль ФБР и IOCs

ФБР распространило информацию об IOCs, связанных с деятельностью этих групп, чтобы повысить осведомленность и помочь правоохранителям и организациям снизить риски. Публикация IOCs позволяет специалистам по безопасности быстрее обнаруживать признаки компрометации и реагировать на инциденты.

Рекомендации для организаций

  • Внедрить и обязательно требовать многофакторную аутентификацию (MFA) для доступа к Salesforce и административным учетным записям.
  • Провести ревизию подключенных приложений и интеграций: отказаться от неиспользуемых, применить allow‑listing для OAuth‑приложений.
  • Регулярно проверять и отзывать подозрительные или неиспользуемые OAuth‑токены; использовать механизмы ротации токенов.
  • Ограничить привилегии по принципу least privilege и разделить административные функции.
  • Настроить мониторинг и оповещения: отслеживать необычные сессии, массовый экспорт данных, аномалии в поведении сервисных аккаунтов и интеграций.
  • Обучать персонал противодействию социально-инженерным атакам, особенно сотрудников колл‑центров и техподдержки; внедрить строгие процедуры верификации звонящих.
  • Проводить периодический аудит логов и использовать SIEM/EDR для корреляции событий и быстрого реагирования.
  • Сотрудничать с правоохранительными органами и обмениваться IOCs при обнаружении инцидентов.

Вывод

Деятельность UNC6040 и UNC6395 демонстрирует эволюцию методов киберпреступников: от социальной инженерии до использования легитимных интеграций и OAuth‑токенов. В таких условиях организациям важно не полагаться только на традиционные меры защиты, а внедрять multilayer‑подход: технические контрмеры, контроль интеграций и системные процедуры верификации людей. Публикация ФБР IOCs — возможность для специалистов оперативно усилить защиту и снизить риск компрометации данных в Salesforce.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Оперативный отчет ФБР UNC6040 и UNC6395: кражи данных Salesforce".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.