Утечка в системе Salesforce позволила хакерам похитить данные клиентов Google.

В июне одна из корпоративных систем Salesforce компании Google подверглась атаке, связанной с кампанией UNC6040. Google провела анализ влияния и приняла меры по смягчению последствий. Затронутая система хранила контактную информацию и заметки о малых и средних предприятиях. Исследователи подтвердили, что данные были доступны в течение короткого времени до разрыва соединения. Извлеченные данные включали в себя только общедоступную информацию о бизнесе, такую как имена и контактные данные.

Утечка в Salesforce позволила хакерам украсть данные клиентов Google

Группа Google Threat Intelligence Group (GTIG) отслеживает кампании вымогательства, которые следуют за вторжениями UNC6040, под обозначением UNC6240. Эти атаки обычно начинаются через несколько месяцев после первоначального взлома. Злоумышленники связываются с сотрудниками пострадавших организаций по телефону или электронной почте, требуя оплату в биткоинах в течение 72 часов. В ходе этих взаимодействий UNC6240 неоднократно заявляла о принадлежности к группе ShinyHunters.

GTIG предполагает, что лица, использующие название ShinyHunters, могут планировать усиление тактики путем запуска сайта для утечек данных. Этот шаг, вероятно, направлен на усиление давления на жертв, особенно тех, кто пострадал от недавних утечек, связанных с Salesforce и UNC6040. GTIG продолжает следить за этими действиями и будет предоставлять обновления по мере необходимости.

Адреса отправителей, связанные с вымогательскими письмами UNC6240, включают:

• shinycorp@tuta[.]com
• shinygroup@tuta[.]com

GTIG задокументировала эволюцию тактик, техник и процедур (TTPs) UNC6040. Первоначально группа полагалась на приложение Salesforce Data Loader, но затем перешла на кастомные приложения на Python для выполнения аналогичных функций по извлечению данных. Обновленная цепочка атак обычно начинается с голосового фишинга, часто проводимого через Mullvad VPN или TOR. После вовлечения жертвы группа автоматизирует сбор данных через TOR, что затрудняет определение источника атаки.

Недавние вторжения показывают, что UNC6040 перешла от создания пробных учетных записей Salesforce с использованием веб-почты к использованию скомпрометированных учетных записей из других организаций для регистрации своих вредоносных приложений. GTIG выпустила сборник индикаторов компрометации (IOCs), связанных с этой кампанией.

GTIG отслеживает UNC6040, финансово мотивированную группу, специализирующуюся на голосовом фишинге (vishing), нацеленном на системы Salesforce для кражи данных и вымогательства. На протяжении нескольких месяцев операторы UNC6040 последовательно выдавали себя за сотрудников ИТ-поддержки во время телефонных звонков с целью социальной инженерии, обманывая сотрудников, особенно в англоязычных отделениях многопрофильных компаний. Эти взаимодействия часто приводили к неумышленному предоставлению учетных данных или доступу к системам. Примечательно, что в этих инцидентах не было выявлено уязвимостей в программном обеспечении Salesforce.

Одной из распространенных тактик было обманное убеждение жертв разрешить подключение вредоносного приложения через страницу настроек Salesforce. Эти приложения, часто замаскированные под измененные версии легитимного Salesforce Data Loader, позволяли злоумышленникам осуществлять запросы и извлекать данные из клиентских сред. Salesforce выпустила руководство по защите от таких угроз.

В некоторых случаях вымогательство начиналось лишь через несколько месяцев, что позволяет предположить, что UNC6040 может продавать или передавать украденные данные другим лицам, которые затем проводят акты вымогательства. Во время этих кампаний злоумышленник часто упоминал имя ShinyHunters, чтобы усилить давление на жертв.

GTIG классифицировала большую часть выявленной активности под UNC6040. Эта группа использует голосовой фишинг для получения доступа, а затем немедленно извлекает данные с помощью Salesforce Data Loader. Позже те же учетные данные используются для перемещения в другие облачные сервисы, включая Okta и Microsoft 365.

Инфраструктура UNC6040 включала точки доступа Salesforce, а также панель фишинга Okta. Жертвы обманывались, чтобы посетить эти фишинговые страницы во время звонков социальной инженерии, и их просили предоставить учетные данные и коды MFA. Эти данные использовались для установки вредоносного Data Loader, что позволило осуществлять кражу данных.

Группа также активно использовала IP-адреса Mullvad VPN для извлечения данных и доступа к системам. GTIG обнаружила пересечения между инфраструктурой и техниками UNC6040 и тех, которые ранее связывались с группами, аффилированными с коллективом "The Com". Это включает в себя нацеливание на учетные данные Okta, выдачу себя за ИТ-поддержку и фокус на англоязычных пользователей. GTIG отметила, что эти пересечения, вероятно, происходят от общих сообществ акторов, а не от прямой координации.

Data Loader — это инструмент Salesforce для массового импорта, экспорта и обновления данных. Он включает в себя пользовательский интерфейс и поддержку командной строки, с аутентификацией OAuth и интеграцией на уровне приложения. Злоумышленники эксплуатируют это, направляя жертв к открытию настроек подключенного приложения и вводу "кода подключения", связывающего измененное приложение злоумышленника с окружением.

Некоторые инциденты включали в себя кастомизированные версии Data Loader. Уровень сложности варьировался — некоторые использовали небольшие размеры пакетов, извлекая всего 10% данных до обнаружения, в то время как другие тестировали с небольшими запросами, прежде чем перейти к полной экстракции таблиц.

В некоторых случаях приложение переименовывалось в "My Ticket Portal", соответствуя предлогу ИТ-поддержки, использованному во время звонков vishing.

Голосовой фишинг, хотя и не нов, остается чрезвычайно эффективным. Кампания UNC6040 примечательна своей целенаправленностью на данные Salesforce и использованием персонала поддержки как вектора доступа. Развивающиеся TTP группы подчеркивают продолжающуюся угрозу, исходящую от социальной инженерии, нацеленной на человека, а не от технических эксплойтов.

С задержками между взломом и вымогательством многие организации могут столкнуться с будущими требованиями выкупа, включая партнеров по цепочке поставок.

GTIG подчеркивает модель совместной ответственности в облачной безопасности. Salesforce предлагает мощные встроенные средства контроля, но организациям необходимо обеспечить правильную конфигурацию, ограниченный доступ и обучение. GTIG рекомендует следующее:

1. Принцип наименьших привилегий

• Ограничьте разрешение API Enabled только для пользователей, которым оно необходимо.
• Проверьте доступ к Data Loader и ограничьте возможность массового экспорта.
• Регулярно проверяйте разрешения и профили.

2. Управление подключенными приложениями

• Контролируйте, какие пользователи и роли могут одобрять подключенные приложения.
• Ограничьте мощные разрешения, такие как "Настройка приложения" и "Управление подключенными приложениями".
• Разработайте процесс проверки приложений и создание списка разрешенных.

3. Применение ограничений по IP

• Определите диапазоны IP для входа для профилей пользователей и подключенных приложений.
• Блокируйте доступ с неожиданных или не корпоративных IP, включая VPN.

4. Использование Salesforce Shield

• Внедрите политики безопасности транзакций для обнаружения больших загрузок.
• Включите мониторинг событий для отслеживания поведения пользователей и API.
• Интегрируйте логи в SIEM или внутренние системы обнаружения.

5. Применение и обучение по MFA

• Требуйте многофакторную аутентификацию для всех пользователей.
• Обучите пользователей распознаванию усталости от MFA и манипулятивных тактик.

Следуя этим практикам, организации могут лучше защищаться от угроз, таких как UNC6040, и более широких тенденций взломов облачных систем через социальную инженерию. Рекомендуется также регулярное изучение Руководства по безопасности Salesforce для дополнительных мер защиты.