UNC6040: голосовой фишинг и атаки на Salesforce в финансовой сфере

Новая волна голосового фишинга: как UNC6040 атакует Salesforce и корпоративные сети

Google Threat Intelligence Group (GTIG) обнаружила новый финансово мотивированный кластер угроз — UNC6040, который проводит целенаправленные голосовые фишинговые атаки на организации, использующие Salesforce. Злоумышленники применяют социальную инженерию, выдавая себя за сотрудников IT-поддержки, чтобы обманом получить доступ к конфиденциальным данным корпоративных систем.

Методика атак UNC6040

Ключевой вектор атаки — звонки сотрудникам организаций, преимущественно из англоязычных регионов, с целью заставить их авторизовать вредоносное подключенное приложение (connected app) в Salesforce. Это приложение является изменённой версией стандартного Data Loader, что позволяет хакерам получить широкий доступ к данным в системах жертв.

• Жертва получает телефонный звонок, в ходе которого злоумышленник представляется сотрудником IT-службы поддержки.
• Её убеждают перейти на страницу настройки Salesforce connected app и разрешить доступ для мошеннического приложения.
• После этого UNC6040 получает возможность извлекать и манипулировать данными из скомпрометированных инстансов Salesforce.

Данная кампания подчёркивает растущую тенденцию атак, направленных на ИТ-персонал, поскольку именно через них преступники получают доступ к ценной информации компании.

Расширение масштабов атаки

После первоначального взлома UNC6040 не ограничивается Salesforce. В их арсенале также есть методы для перемещения по корпоративной сети и кражи данных из других сервисов, включая Okta и Microsoft 365. Для этого группа использует специализированную фишинговую инфраструктуру, оборудованную панелью управления для Okta, позволяющей напрямую собирать учетные данные пользователей и даже коды многофакторной аутентификации (MFA).

Кроме того, для сокрытия своей активности и обхода систем безопасности злоумышленники применяют VPN-сервисы, такие как Mullvad, что усложняет расследование и блокировку атак.

Отмечается, что методы и тактики UNC6040 схожи с другими финансово мотивированными киберпреступными группами, что может свидетельствовать о существовании широких связей и координации между этими сообществами.

Рекомендации GTIG по защите организаций

В ответ на активность группы UNC6040 специалисты GTIG рекомендуют внедрять комплексный подход к обеспечению безопасности, включающий следующие меры:

• Принцип наименьших привилегий: ограничивать доступ к инструментам, таким как Data Loader, только для необходимых пользователей.
• Строгий контроль подключенных приложений: вводить процедуры утверждения, ограничивать полномочия и внимательно следить за всеми установками connected app.
• Ограничения по IP-адресам: использовать white-list для управления точками доступа, что уменьшит риски несанкционированного подключения.
• Расширенные функции безопасности: активировать Salesforce Shield для мониторинга активности и получения своевременных оповещений о подозрительных действиях.
• Надежная многофакторная аутентификация (MFA): обеспечить, чтобы даже при успешной социальной инженерии злоумышленник не смог получить доступ без второго фактора.
• Регулярные обзоры и обновления политики безопасности: поддерживать адекватный уровень защиты в условиях эволюции угроз.

Следуя этим рекомендациям, организации смогут значительно снизить риски успешных атак, подобных кампании UNC6040, и защитить корпоративные данные от злоумышленников.

Источники: Google Threat Intelligence Group

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.