В современном цифровом мире корпоративные данные становятся ценным ресурсом, привлекающим внимание киберпреступников. Недавние предупреждения ФБР свидетельствуют о растущей активности двух значимых угроз - групп UNC6040 и UNC6395, направленных на платформы Salesforce. Эти инциденты показывают, как злоумышленники выстраивают комплексные атаки с целью кражи конфиденциальной информации и последующего вымогательства. Объектом внимания преступников стали именно экземпляры Salesforce - одной из ведущих облачных платформ для управления отношениями с клиентами (CRM). Такая популярность делает её привлекательной целью для хакеров, ведь доступ к данным о клиентах, сделках и внутренней информации компаний обеспечивает высокую ценность добычи.
UNC6395 получила огласку после масштабной кампании в августе 2025 года, когда злоумышленники использовали скомпрометированные OAuth-токены, относящиеся к приложению Salesloft Drift. Оказалось, что это стало возможным в результате проникновения в GitHub-аккаунт Salesloft, чей контролируемый период длился с марта по июнь 2025 года. Такой инцидент подчёркивает важность надёжного управления доступом ко всем интеграционным сервисам и средствам разработки. После обнаружения инцидента компания Salesloft оперативно изолировала инфраструктуру Drift и вывела из эксплуатации чат-бот с искусственным интеллектом, использовавшийся в платформе. Дополнительно начаты меры по усилению аутентификации и безопасности репозитория на GitHub.
Представители компании настоятельно рекомендуют клиентам рассматривать все интеграции Drift как потенциально скомпрометированные и предпринимать соответствующие меры предосторожности. Группа UNC6040 действует с октября 2024 года и связывается с финансово мотивированными преступлениями. Методика этой группы включает социальную инженерию в форме голосовых фишинговых атак (вишинг), направленных на получение первоначального доступа. Использование модифицированных утилит Salesforce и кастомных скриптов на Python даёт возможность быстрого проникновения и извлечения значительных объёмов данных. Применяя специальные панели для фишинга, злоумышленники убеждают жертв посетить сайты с мобильных устройств или рабочих компьютеров во время звонков, что повышает вероятность успешного обмана.
После получения доступа злоумышленники используют API-запросы, позволяющие эффективно и быстро выгружать данные из систем. Фаза вымогательства связана с другой группой, известной под обозначением UNC6240, или так называемыми ShinyHunters. Они стремятся повысить давление на пострадавшие организации, создавая специализированные площадки для утечки данных. Это служит психологическим инструментом для побуждения жертв к выплатам и кооперации с преступниками. Ситуация дополнительно осложняется объединением нескольких киберпреступных групп, включая ShinyHunters, Scattered Spider и LAPSUS$, которые объединили усилия для усиления своего преступного влияния.
Однако в сентябре 2025 года представители LAPSUS$ объявили "завершение деятельности", что может быть связано с усилением правоохранительных мер. Тем не менее, опыт показывает, что такие заявления редко означают окончательное прекращение активности: преступники часто реструктурируются и возвращаются под новыми именами. Эксперты предупреждают, что длительный период затишья не означает исчезновение угрозы. Злоумышленники могут сохранить незаметные уязвимости в системах, которые будут использоваться позднее, а украденные данные могут всплывать вновь. Организациям необходимо продолжать поддерживать высокий уровень бдительности и внедрять многосторонние меры безопасности.
Значение защиты и мониторинга инфраструктуры Salesforce возрастает в условиях таких атак. Использование многофакторной аутентификации, регулярный аудит прав доступа, контроль за интеграциями, а также совершенствование процессов обновления и безопасности кода являются обязательными элементами обороны. Организации должны также обучать сотрудников методам распознавания социального инжиниринга, поскольку именно человеческий фактор нередко становится слабым звеном в системе безопасности. Взаимодействие между правоохранительными органами, специалистами по кибербезопасности и провайдерами услуг, такими как Salesforce и Salesloft, имеет критическое значение для своевременного выявления и предотвращения подобных угроз. Публичные предупреждения, публикация идентификаторов компрометации и обмен информацией с сообществом помогают быстро реагировать на инциденты и минимизировать ущерб.
В целом, атаки групп UNC6040 и UNC6395 демонстрируют эволюцию и усложнение методов киберпреступников, нацеленных на облачные сервисы с высокой стоимостью данных. Вызовы подобного рода обязывают организации пересматривать свои стратегии киберзащиты, усиливать технические и процедурные меры безопасности и формировать культуру осведомленности среди сотрудников. В условиях растущей взаимосвязанности бизнес-среды и зависимости от облачных технологий исключительно сложная задача - сохранить конфиденциальность, целостность и доступность информации. Активные меры по защите от угроз, мониторинг поведения в инфраструктуре и внедрение передовых технологий безопасности помогут организациям отразить современные кибератаки и минимизировать риски утраты ценных данных. Таким образом, предупреждения ФБР и аналитические данные по активности UNC6040 и UNC6395 служат важным сигналом для компаний, использующих Salesforce и аналогичные платформы, стремиться к усилению собственной безопасности и готовности к ответным действиям в случае инцидентов.
Рассмотрение всех аспектов безопасности и постоянное совершенствование процессов защиты данных станут ключевыми факторами для устойчивости бизнеса в цифровую эпоху. .
