UNC6040 та UNC6395 б’ють по Salesforce — викрадення даних і шантаж

15.09.2025 1 хвилин Автор: Newsman

ФБР розіслало термінове попередження з індикаторами компрометації (IoC) щодо двох кіберзлочинних угруповань — UNC6040 та UNC6395, які останнім часом масово зламують Salesforce через різні вектори доступу, викрадають дані й переходять до вимагання.

  • У серпні 2025-го фіксувалася широка кампанія викрадення даних із Salesforce через скомпрометовані OAuth-токени інтеграції Salesloft Drift. Salesloft підтвердив, що першопричиною була компрометація їхнього GitHub-акаунта (березень–червень 2025). Компанія ізолювала інфраструктуру Drift, тимчасово вимкнула чат-бот, проводить ротацію доступів, посилює MFA та захист GitHub і радить усім клієнтам розглядати усі інтеграції Drift і пов’язані дані як потенційно скомпрометовані.

  • UNC6040. Група (активна щонайменше з жовтня 2024) здобуває початковий доступ через вішинг (соціальна інженерія телефоном), потім масово викачує дані із Salesforce за допомогою модифікованого Salesforce Data Loader та кастомних Python-скриптів, а також API-запитів. Етап вимагання часто відбувається через місяці після зламу. Частину тиску на жертв Google пов’язує з кластером UNC6240, що видає себе за ShinyHunters.

  • Рух у злочинному середовищі. На тлі цих атак з’явилися заяви про координацію ShinyHunters, Scattered Spider і LAPSUS, а 12 вересня 2025-го у Telegram вони оголосили про «вихід у тінь». Експерти Unit 42 попереджають: такі «пенсії» зазвичай тимчасові — групи розколюються, ребрендяться і повертаються, а ризики для вкрадених даних і прихованих бекдорів залишаються.

ФБР випустило flash-alert з IoC для захисту організацій, що використовують Salesforce. Salesloft, реагуючи на інцидент із Drift, впроваджує посилену аутентифікацію та харденінг середовища; клієнтам рекомендовано ротацію секретів, тимчасове вимкнення частини інтеграцій і перегляд налаштувань безпеки. Типові техніки суперників: соціальна інженерія (вішинг), крадіжка або зловживання OAuth-токенами, масовий експорт через офіційні інструменти та API, подальший шантаж.

Навіть якщо окремі бренди злочинців «затихають», загроза не зникає. Організаціям варто діяти за принципом «компрометація за замовчуванням»: відкликати й перевипустити OAuth-токени, проінвентаризувати та відключити зайві інтеграції, увімкнути MFA та GitHub-харденінг, моніторити API-логи Salesforce на масові витяги, обмежити доступи за принципом найменших привілеїв і тренувати персонал проти вішингу. Постійний моніторинг IoC від ФБР і провайдерів — обов’язковий.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.