Новости Вы не заметите, как отдадите всё — хакеры подменили Data Loader и диктуют бизнесу свои условия

[NewsMaker]

Алло, мы из Salesforce. Установите вирус, пожалуйста.

---

---

<meta charset="UTF-8"><title>Новость о хакерах UNC6040</title> Хакеры, действующие под кодовым именем UNC6040, стали фигурантами расследования команды Google Threat Intelligence Group из-за серии успешных атак на корпоративные среды Salesforce. Главный приём, который они используют — фишинг через голосовые звонки, или Для просмотра ссылки Войди или Зарегистрируйся . С его помощью злоумышленники убеждают сотрудников компаний установить поддельную версию Data Loader — легитимного инструмента Salesforce для массовой загрузки данных.

Сценарий атаки начинается с звонка: сотрудника просят перейти на якобы официальный сайт подключения приложений Salesforce. Там предлагается подтвердить доступ для программы, выдающей себя за Data Loader, но на самом деле созданной самими Для просмотра ссылки Войди или Зарегистрируйся . Как только приложение установлено, атакующие получают прямой доступ к конфиденциальным данным компании в Salesforce, могут выполнять запросы и выгружать информацию.

И этим дело не ограничивается. Полученные права зачастую позволяют злоумышленникам перемещаться дальше по корпоративной сети, атаковать другие облачные сервисы и даже проникать во внутренние IT-системы организации.

Mandiant, подразделение Google, напрямую заявляет: UNC6040 — это Для просмотра ссылки Войди или Зарегистрируйся , специализирующаяся на вишинге и краже данных из Salesforce-экосистем. Их инфраструктура, по данным исследователей, пересекается с сообществом The Com — разрозненной криминальной экосистемой, объединяющей малые группировки, некоторые из которых также причастны к насильственным действиям.

По данным Google, от атак UNC6040 пострадали около 20 организаций. В ряде случаев злоумышленникам действительно удалось вывести чувствительные данные. Одной из жертв стал один из крупнейших дистрибьюторов Coca-Cola в Великобритании — Coca-Cola Europacific Partners. При этом, по предварительным данным, ИТ-системы Coca-Cola не были скомпрометированы напрямую: доступ к 64 ГБ данных был получен через взлом их Salesforce-учётки.

Представители Salesforce уже в марте предупреждали о возможных атаках с использованием модифицированной версии Data Loader. В ответ на последние инциденты компания подчеркнула, что не выявила уязвимостей в своей платформе. По их словам, атаки основываются исключительно на Для просмотра ссылки Войди или Зарегистрируйся и недостаточной киберграмотности отдельных сотрудников. Хотя Salesforce отказалась раскрыть точное число пострадавших клиентов, в компании настаивают: речь идёт лишь о небольшом числе организаций, а не о масштабной угрозе.

Тем не менее, кейс с UNC6040 показывает, насколько опасной может быть комбинация Для просмотра ссылки Войди или Зарегистрируйся и поддельных инструментов доступа. Он также поднимает вопросы о достаточности обучающих программ для сотрудников и необходимости контроля за сторонними приложениями в облачных экосистемах.