Аналитики из Google Threat Intelligence Group поделились информацией об этой угрозе и методах защиты в своем отчете.
За последние несколько месяцев кластер, которому присвоили название UNC6040, неоднократно взламывал пользователей. Злоумышленники звонят по телефону, представляются сотрудниками IT-поддержки и используют методы социальной инженерии, а проще говоря — манипуляции.
В итоге они заставляют пользователей устанавливать подделанную версию приложения Salesforce. Во время звонка преступник направляет жертву на страницу настройки связанного приложения Salesforce, чтобы одобрить версию приложения Data Loader с именем или брендом, которые отличаются от легальной версии.
Salesforce — облачная платформа, которая используется для работы с клиентами. Она помогает автоматизировать и упростить многие задачи, связанные с продажами, обслуживанием, маркетингом, аналитикой и связями с клиентами.
Data Loader — это приложение, разработанное Salesforce, предназначенное для эффективного импорта, экспорта и обновления больших объемов данных на платформе Salesforce. Оно предлагает как пользовательский интерфейс, так и компонент командной строки, причем последний обеспечивает обширные возможности настройки и автоматизации.
Приложение поддерживает OAuth и позволяет осуществлять прямую интеграцию "приложений" через функциональность "подключенных приложений" в Salesforce. Злоумышленники злоупотребляют этим, убеждая жертву по телефону открыть страницу настройки подключения Salesforce и ввести "код подключения", тем самым связывая контролируемый злоумышленником Data Loader со средой жертвы.
Как правило, вирусная программа загружает в систему ПО, которое позволяет хакерам получить доступ к конфиденциальным данным и базам авторизованной Salesforce, затем отправляет их в облачные хранилища. Спустя некоторое время, обычно несколько месяцев, та же или другая группа вымогает деньги в обмен на украденную информацию. Преступники заявляют о своей принадлежности к известной хакерской группе ShinyHunters, вероятно, в качестве метода усиления давления на своих жертв.
По информации Google, жертвами злоумышленников стали люди из США и Европы, работающие в сфере гостичничного бизнеса, розничной торговли и образования. Примечательно, что во время атаки уязвимости ПО не используются, и хакеры не могут взломать пользователей, если последние сами им не помогут.
Эксперты по кибербезопасности Google рекомендует организациям рассмотреть следующие шаги для снижения риска атаки UNC6040:
придерживаться принципа наименьших привилегий для сотрудников;строго управлять доступом к подключенным приложениям;обеспечить соблюдение ограничений доступа на основе IP-адресов;использовать расширенный мониторинг безопасности и применение политик с помощью Salesforce Shield;всюду внедрить многофакторную аутентификацию."Не отвечайте на звонки с неизвестных номеров. Если вы ответили на такой звонок, немедленно повесьте трубку", — советует Федеральная комиссия по связи США. Важно не отвечать на вопросы и не сообщать личную информацию.