Хакеры используют поддельные звонки в службу ИТ-поддержки для взлома корпоративных систем Google

Группа хакеров, мотивированная финансовыми интересами, известная как UNC6040, использует простую, но эффективную тактику для взлома корпоративных сред: они поднимают трубку телефона и выдают себя за сотрудников службы ИТ-поддержки. Такая тактика называется голосовым фишингом (вишингом) .

Согласно новому отчету Группы по анализу угроз Google (GTIG), этот преступник выдавал себя за внутренних технических специалистов в телефонных атаках с использованием социальной инженерии. Их цель — обмануть сотрудников, в основном в англоязычных филиалах многонациональных компаний, и получить доступ к конфиденциальным системам, в частности к Salesforce , широко используемой платформе управления взаимоотношениями с клиентами (CRM).

UNC6040 не полагается на эксплойты или уязвимости безопасности. Вместо этого он рассчитывает на человеческую ошибку . Злоумышленники звонят сотрудникам и проводят их через одобрение подключенного приложения внутри Salesforce. Но это не просто приложение, это часто модифицированная версия легитимного инструмента Salesforce Data Loader.

Используя этот доступ, злоумышленники могут запрашивать и извлекать огромные объемы данных из целевой организации. В некоторых случаях они маскируют инструмент под «My Ticket Portal», название, соответствующее теме ИТ-поддержки мошенничества.

После предоставления доступа UNC6040 извлекает данные поэтапно. Иногда они начинают с малого, чтобы избежать обнаружения, используя тестовые запросы и ограниченные размеры пакетов. Если первоначальное зондирование остается незамеченным, они масштабируют операцию и начинают крупномасштабную эксфильтрацию.

Интересно, что кража данных не всегда приводит к немедленным требованиям. В нескольких случаях проходили месяцы, прежде чем жертвы получали сообщения с вымогательством. В этих сообщениях злоумышленники утверждали, что связаны с известной хакерской группой ShinyHunters , что, вероятно, было направлено на усиление давления на жертв с целью заставить их заплатить.

Этот отложенный подход намекает на то, что UNC6040 может работать с другими субъектами, которые специализируются на монетизации украденных данных. Независимо от того, продают ли они доступ или передают данные для последующих атак, длительная пауза усложняет обнаружение инцидентов и реагирование на них для служб безопасности.

Хотя основной целью является Salesforce, амбиции группы на этом не заканчиваются. Получив полномочия, UNC6040, как было замечено, перемещается горизонтально через корпоративные системы, нацеливаясь на такие платформы, как Okta и Microsoft 365. Этот более широкий доступ позволяет им собирать дополнительные ценные данные, углублять свое присутствие и создавать рычаги для будущих попыток вымогательства.

GTIG рекомендует предпринять несколько четких шагов, чтобы сделать такие нарушения менее вероятными. Во-первых, ограничьте круг лиц, имеющих доступ к мощным инструментам, таким как Data Loader, только пользователи, которым это действительно нужно, должны иметь разрешения, и их следует регулярно проверять. Также важно управлять тем, какие подключенные приложения могут получать доступ к вашей настройке Salesforce; любое новое приложение должно проходить формальный процесс одобрения.

Чтобы предотвратить несанкционированный доступ, особенно со стороны злоумышленников, использующих VPN, входы в систему и авторизации приложений должны быть ограничены доверенными диапазонами IP-адресов. Мониторинг — еще один ключевой элемент, платформы, такие как Salesforce Shield, могут отмечать и реагировать на крупномасштабный экспорт данных в режиме реального времени. Хотя многофакторная аутентификация ( MFA ) не идеальна, она по-прежнему играет важную роль в защите учетных записей, особенно когда пользователи обучены обнаруживать уловки, такие как фишинговые звонки, которые пытаются ее обойти.