Google zaznamenal, že hackeři vydávající se za vyděračskou skupinu ShinyHunters provádějí sociálně-inženýrské útoky na nadnárodní společnosti s cílem krást data z platforem Salesforce těchto organizací.

Podle Google Threat Intelligence Group (GTIG), která tuto hrozbu sleduje pod označením „UNC6040“, útoky cílí na anglicky mluvící zaměstnance pomocí hlasových phishingových útoků, kdy se je snaží přesvědčit, aby se připojili k upravené verzi aplikace Salesforce Data Loader.

Útočníci se vydávají za pracovníky IT podpory a žádají cílového zaměstnance, aby povolil připojení k Salesforce Data Loader, což je klientská aplikace umožňující import, export, aktualizaci nebo mazání dat v prostředí Salesforce.

„Aplikace podporuje OAuth a umožňuje přímou integraci „aplikací“ prostřednictvím funkce „připojené aplikace“ v Salesforce,“ vysvětlují expeti. „Útočníci toho zneužívají tím, že oběť přesvědčí po telefonu, aby otevřela stránku nastavení připojení Salesforce a zadala „kód připojení“, čímž propojí Data Loader ovládaný útočníkem s prostředím oběti.“

Cílové organizace již využívají cloudovou platformu Salesforce pro řízení vztahů se zákazníky (CRM), takže požadavek na instalaci tohoto nástroje působí v rámci útoku důvěryhodně.

V útocích UNC6040 je aplikace využita k exportu dat uložených v instancích Salesforce a následně k laterálnímu pohybu v propojených platformách, jako jsou Okta, Microsoft 365 a Workplace.

Přístup k těmto dalším cloudovým platformám umožňuje útočníkům získat citlivější informace, včetně komunikace, autorizačních tokenů, dokumentů a dalších dat.

„UNC6040 je finančně motivovaný cluster hrozeb, který získává přístup do sítí obětí pomocí hlasového phishingu a sociálního inženýrství,“ popisuje zpráva GTIG. „Po získání přístupu byl UNC6040 pozorován, jak okamžitě exfiltruje data z prostředí Salesforce oběti pomocí aplikace Salesforce Data Loader.“

Zdroj: BleepingComputer

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS