Tokom posljednjih nekoliko mjeseci, jedna hakerska grupa aktivno kompromituje Salesforce sisteme unutar organizacija i iznosi povjerljive podatke o klijentima i poslovanju, upozorio je Google Threat Intelligence Group (GTIG).
Grupa, trenutno praćena pod oznakom UNC6040, specijalizovana je za glasovni phishing (vishing) – lažno se predstavljaju kao IT podrška i navode zaposlene da im otkriju pristupne podatke ili da povežu malicioznu aplikaciju s Salesforce okruženjem organizacije.
Cilj napada: krađa osjetljivih podataka i ucjena
Glavni cilj ovih napada je krađa povjerljivih podataka, koji se potom koriste za pokušaj iznude novca od žrtve.
Nakon inicijalne krađe podataka, UNC6040 često nastavlja lateralo kretanje kroz mrežu žrtve, pristupajući dodatnim platformama kao što su Okta, Workplace i Microsoft 365, kako bi izvukli još više podataka, navode analitičari iz Googlea.
Vishing usmjeren na Salesforce
U ovim napadima napadači prvenstveno ciljaju zaposlene koji govore engleski u multinacionalnim kompanijama.
Tokom vishing poziva, manipulišu zaposlenima da:
- povežu malicioznu aplikaciju s Salesforce sistemom svoje organizacije, ili
- posjete lažne stranice i unesu korisničke podatke i MFA kodove, koje napadači zatim koriste da sami obave povezivanje aplikacije.
Ta maliciozna aplikacija je izmijenjena verzija legitimne Salesforce Data Loader aplikacije, s promijenjenim imenom i vizuelnim identitetom kako ne bi izazvala sumnju.
Tok napada (Izvor: Mandiant)
Ovaj korak napadačima daje široke mogućnosti za pristup i izvoz osjetljivih podataka direktno iz Salesforce okruženja, kažu analitičari.
Moguća saradnja s drugim kriminalnim grupama
Google-ovi stručnjaci ističu da možda nisu isti hakeri odgovorni za krađu podataka i za ucjenu.
U nekim slučajevima, ucjene se nisu desile sve do nekoliko mjeseci nakon prvobitne kompromitacije, što može ukazivati da je UNC6040 prodao pristup drugim grupama koje se bave iznudama.
Zbog tog vremenskog razmaka, moguće je da više žrtava – uključujući i one “nizvodno” – može biti suočeno s ucjenama u narednim sedmicama i mjesecima.
UNC6040 taktike odražavaju šire trendove u vishing napadima
Taktike i infrastruktura koje koristi UNC6040 poklapaju se s poznatom neformalnom grupom The Com, koja se takođe oslanja na vishing, lažno predstavljanje IT podrške i krađu Okta akreditiva.
Brzina krađe podataka i složenost upita variraju od slučaja do slučaja, što ukazuje na različite nivoe znanja i alata kod napadača.
Važno: U svim dosadašnjim slučajevima, napadači su manipulisali korisnicima, a nisu iskoristili ranjivosti u samom Salesforce-u, naglasili su istraživači.
Salesforce i Mandiant reaguju
Salesforce je svjestan ovih napada i aktivno upozorava klijente, dijeleći preporuke i sigurnosne opcije koje mogu pomoći u zaštiti.
Takođe, Mandiant (takođe u vlasništvu Googlea) objavio je širi pregled trenutnih vishing prijetnji i preporuke o obrambenim mjerama koje organizacije mogu preduzeti.
Izvor:Help Net Security
