Hakerzy wykorzystują fałszywe połączenia z działem wsparcia IT do włamywania się do systemów korporacyjnych i Google

Grupa hakerów, znana jako UNC6040, działa na podstawie motywacji finansowej i stosuje prostą, ale skuteczną taktykę włamywania się do środowisk korporacyjnych: podnosi słuchawkę i podszywa się pod pracowników wsparcia IT, co nazywa się po prostu phishingiem głosowym (Vishing) .

Według nowego raportu Threat Intelligence Group (GTIG) Google, ten aktor podszywa się pod wewnętrzny personel techniczny w telefonicznych atakach socjotechnicznych. Ich celem jest oszukanie pracowników, głównie w anglojęzycznych oddziałach międzynarodowych firm, aby udzielili dostępu do wrażliwych systemów, w szczególności Salesforce , powszechnie używanej platformy do zarządzania relacjami z klientami (CRM).

UNC6040 nie opiera się na exploitach ani lukach w zabezpieczeniach. Zamiast tego opiera się na błędzie ludzkim . Atakujący dzwonią do pracowników i przeprowadzają ich przez proces zatwierdzania połączonej aplikacji w Salesforce. Ale to nie jest byle jaka aplikacja, często jest to zmodyfikowana wersja legalnego narzędzia Data Loader firmy Salesforce.

Dzięki temu dostępowi atakujący mogą wyszukiwać i wyodrębniać ogromne ilości danych z docelowej organizacji. W niektórych przypadkach maskują narzędzie jako „My Ticket Portal”, nazwę powiązaną z tematem oszustwa, jakim jest wsparcie IT.

Po udzieleniu dostępu UNC6040 pobiera dane etapami. Czasami zaczynają od małych rzeczy, aby uniknąć wykrycia, używając zapytań testowych i ograniczonych rozmiarów partii. Jeśli początkowe sondowanie nie zostanie zauważone, skalują operację i rozpoczynają eksfiltrację dużych objętości.

Co ciekawe, kradzież danych nie zawsze prowadzi do natychmiastowych żądań. W kilku przypadkach minęły miesiące, zanim ofiary otrzymały wiadomości z wymuszeniami. W tych wiadomościach atakujący twierdzili, że są związani ze znaną grupą hakerską ShinyHunters , co prawdopodobnie miało na celu zwiększenie presji na ofiary, aby zapłaciły.

To opóźnione podejście sugeruje, że UNC6040 może współpracować z innymi podmiotami specjalizującymi się w monetyzacji skradzionych danych. Niezależnie od tego, czy sprzedają dostęp, czy przekazują dane do ataków następczych, długa przerwa sprawia, że ​​wykrywanie incydentów i reagowanie na nie jest bardziej skomplikowane dla zespołów ds. bezpieczeństwa.

Chociaż głównym celem jest Salesforce, ambicje grupy na tym się nie kończą. Po uzyskaniu uprawnień zaobserwowano, że UNC6040 przemieszcza się bocznie po systemach korporacyjnych, atakując platformy takie jak Okta i Microsoft 365. Ten szerszy dostęp pozwala im zbierać dodatkowe cenne dane, pogłębiać swoją obecność i budować dźwignię dla przyszłych prób wymuszenia.

GTIG radzi podjąć kilka wyraźnych kroków, aby zmniejszyć prawdopodobieństwo tego typu naruszeń. Po pierwsze, ogranicz, kto ma dostęp do potężnych narzędzi, takich jak Data Loader, tylko użytkownicy, którzy naprawdę tego potrzebują, powinni mieć uprawnienia, a te powinny być regularnie sprawdzane. Ważne jest również zarządzanie tym, które połączone aplikacje mogą uzyskać dostęp do konfiguracji Salesforce; każda nowa aplikacja powinna przejść formalny proces zatwierdzania.

Aby zapobiec nieautoryzowanemu dostępowi, zwłaszcza ze strony atakujących korzystających z sieci VPN, logowania i autoryzacje aplikacji powinny być ograniczone do zaufanych zakresów adresów IP. Monitorowanie jest kolejnym kluczowym elementem, platformy takie jak Salesforce Shield mogą oznaczać i reagować na eksporty danych na dużą skalę w czasie rzeczywistym. Chociaż uwierzytelnianie wieloskładnikowe ( MFA ) nie jest idealne, nadal odgrywa ważną rolę w ochronie kont, zwłaszcza gdy użytkownicy są przeszkoleni w zakresie wykrywania sztuczek, takich jak połączenia phishingowe, które próbują je obejść.