СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#ИБ#ИИ

Оперативный отчет ФБР UNC6040 и UNC6395: кражи данных Salesforce

Оперативный отчет ФБР UNC6040 и UNC6395: кражи данных Salesforce

ФБР опубликовало оперативный отчет, в котором описана деятельность двух киберпреступных группировок — UNC6040 и UNC6395. В центре внимания — целенаправленные кражи данных и вымогательства, связанные с платформой Salesforce. Отчет призван повысить осведомленность и предоставить IOCs (индикаторы компрометации), чтобы помочь специалистам по кибербезопасности эффективно противодействовать этим угрозам.

Кто такие UNC6040 и UNC6395?

UNC6040 действует с октября 2024 года. Основной вектор их атак — социальная инженерия, в частности vishing (голосовой фишинг). Преступники выдают себя за сотрудников ИТ‑службы поддержки и через колл‑центры убеждают сотрудников целевых организаций выполнить действия, которые в конечном итоге дают злоумышленникам доступ к учетным записям Salesforce и последующую эксфильтрацию конфиденциальных данных клиентов.

UNC6395 была активна в кампании по краже данных, нацеленной на Salesforce, с августа 2025 года. Эта группа использует скомпрометированные токены OAuth, связанные с приложением Salesloft Drift (чат‑бот с ИИ, интегрируемый с Salesforce). С помощью таких токенов злоумышленники получают несанкционированный доступ к информации о клиентах, хранящейся в учетных записях Salesforce.

Тактики и механизмы атак

  • UNC6040:
    • Социальная инженерия через колл‑центры и телефонные звонки;
    • Имитация сотрудников технической поддержки для убеждения пользователей выполнять действия, раскрывающие учетные данные или предоставляющие доступ;
    • Доступ к экземплярам Salesforce и эксфильтрация данных клиентов.
  • UNC6395:
    • Эксплуатация скомпрометированных OAuth‑токенов, связанных с интеграционными приложениями (в частности Salesloft Drift);
    • Использование легитимных интеграций для обхода традиционных мер защиты и доступа к данным в Salesforce;
    • Целенаправленная эксфильтрация информации о клиентах.

Почему это особенно опасно

Обе группировки демонстрируют тенденцию: злоумышленники активно используют легитимные платформы и интеграции для получения доступа, что затрудняет обнаружение атак традиционными средствами. Комбинация социальной инженерии и компрометации OAuth‑интеграций позволяет обходить защиту без явного взлома паролей или эксплуатации уязвимостей в коде.

Роль ФБР и IOCs

ФБР распространило информацию об IOCs, связанных с деятельностью этих групп, чтобы повысить осведомленность и помочь правоохранителям и организациям снизить риски. Публикация IOCs позволяет специалистам по безопасности быстрее обнаруживать признаки компрометации и реагировать на инциденты.

Рекомендации для организаций

  • Внедрить и обязательно требовать многофакторную аутентификацию (MFA) для доступа к Salesforce и административным учетным записям.
  • Провести ревизию подключенных приложений и интеграций: отказаться от неиспользуемых, применить allow‑listing для OAuth‑приложений.
  • Регулярно проверять и отзывать подозрительные или неиспользуемые OAuth‑токены; использовать механизмы ротации токенов.
  • Ограничить привилегии по принципу least privilege и разделить административные функции.
  • Настроить мониторинг и оповещения: отслеживать необычные сессии, массовый экспорт данных, аномалии в поведении сервисных аккаунтов и интеграций.
  • Обучать персонал противодействию социально-инженерным атакам, особенно сотрудников колл‑центров и техподдержки; внедрить строгие процедуры верификации звонящих.
  • Проводить периодический аудит логов и использовать SIEM/EDR для корреляции событий и быстрого реагирования.
  • Сотрудничать с правоохранительными органами и обмениваться IOCs при обнаружении инцидентов.

Вывод

Деятельность UNC6040 и UNC6395 демонстрирует эволюцию методов киберпреступников: от социальной инженерии до использования легитимных интеграций и OAuth‑токенов. В таких условиях организациям важно не полагаться только на традиционные меры защиты, а внедрять multilayer‑подход: технические контрмеры, контроль интеграций и системные процедуры верификации людей. Публикация ФБР IOCs — возможность для специалистов оперативно усилить защиту и снизить риск компрометации данных в Salesforce.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: