Поддельные звонки в службу IT-поддержки затронули 20 организаций и закончившись кражей данных

Группа кибермошенников, специализирующихся на фальшивых телефонных звонках в службу IT-поддержки, напоминающих Scattered-Spider, сумела обмануть ^[1] сотрудников примерно в 20 организациях. Их заставили установить модифицированную версию Salesforce Data Loader, которая позволяет преступникам красть конфиденциальные данные.

Группа Google Threat Intelligence Group (GTIG) отслеживает эту команду как UNC6040. В опубликованном исследовании говорится, что хакеры специализируются на кампаниях голосового фишинга, нацеленных на экземпляры Salesforce, для масштабной кражи данных и вымогательства.

Эти атаки начались примерно в начале года, сообщил главный аналитик по угрозам GTIG Остин Ларсен. «Наша текущая оценка показывает, что в рамках этой кампании пострадало ограниченное количество организаций, около 20. Мы видели, что UNC6040 была нацелена на гостиничный бизнес, розничную торговлю, образование и различные другие секторы в Америке и Европе», — сказал он. 

Преступники выдавали себя за сотрудников техподдержки и убеждали работников англоязычных филиалов многонациональных корпораций загрузить модифицированную версию Data Loader. Это приложение Salesforce, которое позволяет пользователям экспортировать и обновлять большие объёмы данных.

«GTIG выявила некоторые совпадения между UNC6040 и деятельностью, связанной с подпольным сообществом The Com, которое включает такие группы угроз, как Scattered Spider», — отметил Ларсен. 

Во время телефонных звонков с использованием социальной инженерии мошенники убеждают жертв открыть страницу настройки подключения Salesforce — эта функция позволяет другим приложениям интегрироваться с Salesforce и обмениваться данными. На странице настройки пользователю предлагается ввести восьмизначный код подключения для подключения к сторонним приложениям, UNC6040 предоставляет этот код по телефону. Его введение связывает контролируемый злоумышленником Data Loader со средой Salesforce жертвы.

Инфраструктура UNC6040, используемая для доступа к приложениям Salesforce, также размещала фишинговую панель Okta, которую используют, чтобы обманом заставить жертв зайти на сайт с мобильных телефонов или рабочих компьютеров.

«В этих взаимодействиях UNC6040 также напрямую запрашивала учётные данные пользователя и коды многофакторной аутентификации для входа и добавления приложения Salesforce Data Loader, что облегчает кражу данных и последующее горизонтальное перемещение», — говорится в отчёте Google.

В марте Salesforce опубликовала ^[2] руководство о том, как клиенты могут защитить свою среду от подобных атак, включающих поддельные телефонные звонки. Компания предупреждает об использовании голосового фишинга для кражи токенов многофакторной аутентификации и обмана жертв с целью установки модифицированных версий Data Loader.

Теперь UNC6040 перемещается по сети, получая доступ и похищая конфиденциальную информацию с других платформ, включая Okta, Workplace и Microsoft 365.

В некоторых случаях вымогательство начиналось через несколько месяцев после взлома. «Это может означать, что UNC6040 сотрудничал со вторым субъектом угроз, который монетизирует доступ к украденным данным», — сказал Ларсен. 

В Salesforce заявили: «Компания предлагает встроенную в каждую часть нашей платформы корпоративную безопасность, и нет никаких указаний на то, что описанная проблема возникает из-за какой-либо уязвимости сервисов».

Сама компания в конце мая купила ^[3] фирму в сфере управления облачными данными Informatica за $8 млрд, чтобы укрепить свои возможности в сфере искусственного интеллекта ^[4] и инфраструктуры данных.