В современном цифровом мире корпоративная безопасность становится одной из главных забот для компаний всех размеров. Недавнее предупреждение Федерального бюро расследований США (ФБР), выпущенное в сотрудничестве с Департаментом безопасности внутренней безопасности и Агентством по кибербезопасности и безопасности инфраструктуры (DHS/CISA), проливает свет на активную деятельность двух преступных групп, которые проводят целенаправленные атаки на облачную CRM-платформу Salesforce. Эти группы, известные под кодовыми обозначениями UNC6040 и UNC6395, эффективно обходят систему безопасности для похищения чувствительных бизнес-данных, что ставит под угрозу не только репутацию компаний, но и их финансовую стабильность. Деятельность UNC6040 привлекает внимание своей уникальной тактикой социальной инженерии. С конца 2024 года данная группа применяет в основном технологию голосового фишинга, или вишинга, чтобы получить доступ к учетным записям сотрудников колл-центров и служб поддержки.
Мошенники звонят жертвам, выдавая себя за работников IT-поддержки, сообщая им о якобы возникших проблемах и принуждая к срочным действиям. Под этим предлогом злоумышленники заставляют сотрудников раскрывать свои логины, пароли и даже коды многофакторной аутентификации. Важно отметить, что подобные манипуляции создают эффект давления и срочности, что затрудняет объективную оценку ситуации самими рабочими. Кроме того, группа UNC6040 использует довольно изощренные методы технической эксплуатации. После получения доступа через социальную инженерию, злоумышленники прибегают к использованию официальных инструментов Salesforce, таких как Data Loader, для массового экспорта клиентских данных.
Это позволяет тайно похищать большие объемы информации, которые затем могут быть проданы на черных рынках или использованы при вымогательстве. Особое внимание уделяется применению вредоносных подключенных приложений (Connected Apps). Под видом легитимных интеграций атакующие заставляют пользователей Salesforce авторизовать зловредные OAuth-приложения, которые обходят многофакторную аутентификацию и обходят традиционные методы мониторинга безопасности. Таким образом, даже при наличии продвинутых систем защиты, злоумышленники могут свободно манипулировать доступами и не оставлять следов, которые легко отследить. В некоторых случаях жертвы UNC6040 позже сталкивались с угрозами от группы ShinyHunters, требующей криптовалютные платежи под угрозой публикации украденных данных.
Это свидетельствует о том, что атаки не ограничиваются лишь кражей информации, но перетекают в вымогательство, что наносит серьезный ущерб бизнесу и его репутации. В это же время другая группа - UNC6395 - проводит комплексную атаку, используя скомпрометированные токены OAuth, связанные с сервисом Salesloft Drift, AI-чатботом, интегрированным в Salesforce. В августе 2025 года выяснилось, что злоумышленники успешно воспользовались этими токенами для несанкционированного доступа к Salesforce уязвимых компаний и вывода конфиденциальных данных. После обнаружения факта компрометации, Salesforce и Salesloft приняли оперативные меры, отозвав все активные токены Drift в августе 2025 года. Однако данная атака подчеркнула уязвимость интеграций сторонних приложений и необходимость постоянного контроля и ревизии прав доступа.
Федеральное бюро расследований также опубликовало список известных индикаторов компрометации, включающий IP-адреса, домены и строковые сигнатуры пользовательских агентов, связанных с обеими группами. Среди указанных доменов фигурирует поддельная страница авторизации приложений Salesforce, а IP-адреса задействованы как для эксплуатации, так и для коммуникаций злоумышленников с серверами жертв. Тем не менее, специалисты отмечают, что отдельные индикаторы сами по себе не всегда свидетельствуют о проникновении, но их следует рассматривать в совокупности с другими признаками аномальной активности в сети, что требует комплексного подхода к кибербезопасности. Для борьбы с угрозой ФБР рекомендует, прежде всего, провести обучение сотрудников, особенно тех, кто работает в службах поддержки и колл-центрах, для предотвращения успешных вишинг-атак. Внедрение многофакторной аутентификации, устойчивой к фишингу, а также строгая реализация принципа минимально необходимых прав на доступ (аутентификация, авторизация, учёт) помогут снизить вероятность компрометации.
Мониторинг и анализ использования API и OAuth- интеграций должен стать постоянной практикой в инфраструктуре компаний для выявления подозрительной активности. Регулярная смена ключей и токенов, а также тщательный аудит подключенных приложений, смогут дополнительно обезопасить платформу. Нельзя игнорировать и важность ведения логов и анализа сетевого трафика, который поможет своевременно зафиксировать возможные попытки утечки данных и необычную активность внутри корпоративной сети. В заключение, активные кампании, проводимые группами UNC6040 и UNC6395 против Salesforce, являются ярким примером современных угроз кибербезопасности, где сочетаются методы социальной инженерии и технические приёмы эксплуатации. Платформы корпоративного уровня требуют комплексного, проактивного подхода к защите и постоянного повышения осведомленности сотрудников о рисках.
Компании, использующие Salesforce, должны строго соблюдать рекомендации и обновлять свои политики безопасности в соответствии с текущими угрозами. Это не только предотвратит утечки данных и убытки, но и сохранит доверие клиентов и партнеров, что является важнейшим активом в эпоху цифровых технологий. .
