СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.10.2025
#ИБ#ИИ

Масштабные кибератаки: UNC6395, Salesforce, MintsLoader и sysProcUpdate

Масштабные кибератаки: UNC6395, Salesforce, MintsLoader и sysProcUpdate

Недавние инциденты в сфере кибербезопасности выявили серию серьёзных угроз, затронувших как коммерческие, так и государственные структуры. Атаки варьируются от массового использования скомпрометированных OAuth-токенов в экосистеме CRM до целевых spear phishing-кампаний, направленных на дипломатические представительства и международные организации.

Атака на инстансы Salesforce: что произошло

Группа, приписываемая как UNC6395, провела атаку, в результате которой было нарушено функционирование инстансов Salesforce, затронув более 700 организаций. Злоумышленники использовали скомпрометированные токены OAuth, связанные с чат-агентом Salesloft Drift AI, что привело к несанкционированному доступу к данным CRM — включая контакты и обращения в службу поддержки.

«Скомпрометированные токены OAuth позволили злоумышленникам получить доступ к конфиденциальным данным управления взаимоотношениями с клиентами».

Хотя основные продукты и внутренние сети многих пострадавших компаний, по-видимому, не пострадали напрямую, утечка CRM-данных усиливает риск:

  • spear phishing-атак с использованием точной информации о клиентах;
  • целевого перемещения внутри корпоративных сетей (lateral movement) при наличии других уязвимостей;
  • возможной компрометации третьих сторон через интеграции и автоматизации.

Италия: фишинг, PEC и рост вымогательства

В Италии зафиксирован всплеск киберпреступной активности с несколькими параллельными векторами атак:

  • фишинговая кампания, имитирующая официальные уведомления Налоговой службы — электронные письма пытаются заставить получателей загрузить вредоносные файлы, замаскированные под налоговые документы; поддельные сообщения, по-видимому, отправлялись с легитимного государственного домена;
  • распространение вредоносного ПО MintsLoader, которое развертывают через скомпрометированные почтовые ящики PEC (Posta Elettronica Certificata);
  • кампания по smishing, маскирующаяся под сообщения от INPS (Istituto Nazionale della Previdenza Sociale) с целью сбора личной и финансовой информации;
  • усиление вымогательской активности: группировки DragonForce и Everest сообщаются как причастные к компрометации организаций — в числе пострадавших назван Ordine dei Giornalisti del Lazio и юридическая фирма Cordeiro Guerra & Associati.

Глобальная spear phishing-кампания, вероятно связанная с государственным спонсорством

Зафиксирована широкомасштабная операция, приписываемая субъектам, спонсируемым иранским государством. Ключевые характеристики кампании:

  • цели — дипломатические и правительственные активы по всему миру;
  • используемое вредоносное ПО — sysProcUpdate;
  • рассылка вводящих в заблуждение писем с компрометированной учётной записи посольства Oman, содержащих вредоносные Word-документы, рассчитанные на эксплуатацию макро-уязвимостей;
  • для маскировки происхождения использовалось более 100 уникальных email-аккаунтов, что позволило атакующим масштабно воздействовать на посольства, многосторонние организации и другие правительственные учреждения, включая UN.

Инцидент в Австрии: аномалии в правительственных системах

Федеральное министерство внутренних дел Австрии сообщило о выявленных аномалиях в своих ИТ-системах. По имеющимся данным, значительная часть учётных записей электронной почты была затронута, что указывает на серьёзный компромисс в инфраструктуре и потенциальное влияние на государственные сервисы.

Что означают эти инциденты для организаций

Совокупность описанных эпизодов подчёркивает меняющийся ландшафт угроз: атакующие комбинируют целевой фишинг, эксплуатацию сторонних интеграций и использование компрометированных государственных/сертифицированных каналов (например, PEC) для повышения эффективности атак.

Ключевые риски:

  • массовые утечки конфиденциальных данных клиентов и партнёров;
  • повышенная вероятность целевых фишинг-кампаний с высокой степенью реалистичности;
  • компрометация доверенных каналов связи и подделка легитимных доменов;
  • целенаправленные государственно-спонсируемые операции против дипломатических и международных структур.

Рекомендации по снижению рисков

Организациям и государственным учреждениям следует незамедлительно пересмотреть защитные меры. В числе приоритетных действий:

  • Реагирование на компрометацию OAuth: немедленно аннулировать и перевыпустить скомпрометированные OAuth-токены, ограничить разрешения интеграций и пересмотреть права доступа у сторонних агентов (например, Salesloft Drift AI).
  • Усилить защиту электронной почты: внедрить и контролировать SPF, DKIM, DMARC; отслеживать аномалии в почтовом трафике и проводить регулярный мониторинг учётных записей электронной почты;
  • Ограничить выполнение макросов: блокировать автоматическое выполнение макросов в офисных документах, использовать sandbox для анализа вложений;
  • Защитить PEC и другие сертифицированные каналы: мониторить и сегментировать доступ к PEC-почтовым ящикам, применять многофакторную аутентификацию;
  • Обучение персонала: регулярные тренинги по распознаванию фишинга и smishing, проверка внешних запросов на передачу конфиденциальной информации;
  • Сегментация сети и контроль привилегий: минимизация прав доступа, сегментация критических систем и реализация принципа Least Privilege;
  • План реагирования и резервное копирование: наличие отработанных процедур IR, регулярные резервные копии и тесты восстановления;
  • Взаимодействие с правоохранительными органами и CERT: оперативное информирование соответствующих структур и обмен индикаторами компрометации (IOCs).

Вывод

Последние инциденты демонстрируют, что современные злоумышленники используют комбинацию технических уязвимостей и социальной инженерии, а также эксплуатируют доверие к легитимным сервисам и каналам связи. И корпоративным, и государственным организациям необходимо оперативно усиливать защиту точек интеграции, контролировать доступ третьих сторон и повышать осведомлённость сотрудников. Только комплексный подход позволит снизить вероятность успешных атак и минимизировать последствия потенциальных компрометаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: