В завершение недели, в пятницу, ФБР выпустило [PDF] одно из своих оперативных предупреждений [PDF], чтобы сообщить плохие новости: две хакерские группы атакуют клиентов Salesforce, используя несколько различных методов.
Федеральные власти идентифицировали две группы как UNC6040 и UNC6395. Первая связана с преступной группировкой ShinyHunters, а вторая предположительно стоит за взломом Salesloft Drift, от которого пострадали «сотни» клиентов Google, Palo Alto Networks и Cloudflare.
«В последнее время было замечено, что обе группы нацеливаются на платформы Salesforce организаций, используя различные механизмы первоначального доступа», — заявили в агентстве. «ФБР публикует эту информацию, чтобы повысить осведомлённость и предоставить индикаторы компрометации, которые могут быть использованы получателями для исследований и защиты сети».
По данным ФБР, с октября 2024 года UNC6040 проводила фишинговые атаки на клиентов Salesforce, нацеливаясь на колл-центры, чтобы получить учётные данные для доступа с помощью социальной инженерии. После создания пробных учётных записей на платформе CRM они звонили в службу поддержки, чтобы получить новые учётные данные и коды доступа для многофакторной аутентификации.
UNC6395, с другой стороны, использовал украденные токены OAuth для получения доступа к приложению Salesloft Drift — боту с искусственным интеллектом от Salesforce, доступ к которому был заблокирован 20 августа, чтобы предотвратить дальнейшие атаки.
Экстренные предупреждения от ФБР поступают относительно редко, поэтому вам стоит отнестись к этому серьёзно.
- Хотите ещё полезных статей? Подпишитесь на нашу рассылку — раз в неделю лучшие материалы .
- Чтобы первыми получать аналитику, кейсы и практические инструкции.
- Получайте еженедельный дайджест с проверенными решениями для вашей работы.
- Подписка бесплатна и её легко отменить. Присоединяйтесь!