Google подтверждает взлом базы данных Salesforce группой ShinyHunters

Gurd 08/08/2025 0
UNC6040-2-1140x570

Компания Google подтвердила, что корпоративная база данных Salesforce, используемая для управления контактами малого и среднего бизнеса (SMB), была взломана известной киберпреступной группировкой. Злоумышленники, идентифицированные как ShinyHunters и отслеживаемые Google по внутреннему идентификатору UNC6040, получили несанкционированный доступ к базе данных в июне 2025 года.

В сообщении в блоге, опубликованном во вторник группой по анализу угроз Google (GTIG), компания заявила, что злоумышленникам удалось получить «базовую и в основном общедоступную бизнес-информацию, такую как названия компаний и контактные данные», прежде чем утечка была локализована. Данные хранились в одном из внутренних экземпляров Salesforce Google, используемых для управления взаимодействием с малым и средним бизнесом.

Метод атаки: голосовой фишинг и злоупотребление загрузчиком данных 

Утечка произошла не из-за технической уязвимости платформы Salesforce , а с помощью тактики голосового фишинга (вишинга). Злоумышленники выдавали себя за сотрудников ИТ-отдела и звонили им, убеждая их авторизовать вредоносное приложение в среде Salesforce своей организации.

Вредоносное приложение , часто представляющее собой модифицированную версию официального инструмента Salesforce Data Loader, позволяло злоумышленникам похищать данные. В нескольких случаях злоумышленники маскировали приложение под вводящими в заблуждение названиями, например, «My Ticket Portal», чтобы использовать предлог для вишинга . 

Получив доступ, злоумышленники использовали пользовательские скрипты Python , заменив ранее использовавшийся официальный загрузчик данных, для автоматизации процесса сбора данных. Эти скрипты имитировали легитимные инструменты Salesforce для работы с данными и работали через TOR или VPN- сервисы, такие как Mullvad, что затрудняло атрибуцию.

UNC6040 и появление UNC6240 

GTIG идентифицировала участников этой кампании как UNC6040 — финансово мотивированную группу, специализирующуюся на взломе сред Salesforce с помощью социальной инженерии . После первоначальной кражи данных был замечен другой кластер угроз, UNC6240, инициирующий попытки вымогательства в отношении пострадавших организаций. Эти попытки вымогательства обычно начинаются через несколько недель или месяцев после первоначального взлома. 

Электронные письма и звонки с UNC6240 требуют выплатить биткоины в течение 72 часов и угрожают раскрытием информации об украденных данных. В этих сообщениях часто упоминается организация ShinyHunters , имя которой уже связано с несколькими громкими утечками данных за последние несколько лет. 

GTIG перечислила известные адреса электронной почты, используемые группировкой для вымогательства: 

  • shinycorp@tuta[.]com 
  • shinygroup@tuta[.]com 

Кроме того, данные свидетельствуют о том, что злоумышленники готовят сайт утечки данных (DLS) для публикации украденной информации — тактика, которую часто используют группы, занимающиеся распространением программ-вымогателей, чтобы заставить жертв заплатить. 

Инфраструктура и тактика 

Злоумышленники использовали инфраструктуру, включающую фишинговые панели, имитирующие страницы входа в Okta, которые использовались во время вишинговых звонков. Эти панели в режиме реального времени проверяли учётные данные пользователей и коды многофакторной аутентификации (MFA) . 

Также были получены доказательства того, что злоумышленники использовали скомпрометированные сторонние учетные записи, а не пробные учетные записи Salesforce, для регистрации своих вредоносных приложений, что свидетельствует об эволюции тактики и более высоком уровне операционной безопасности .

GTIG отметила, что группировка, по всей видимости, отдает приоритет англоговорящим сотрудникам многонациональных компаний и часто нападает на ИТ-персонал, используя их более высокий уровень знаний. 

В некоторых случаях до обнаружения удалось извлечь лишь часть данных. Один злоумышленник извлек лишь около 10% целевых записей, используя небольшие фрагменты данных, в то время как в других случаях злоумышленники увеличивали объёмы извлечения после выполнения тестовых запросов. 

Заключение 

Эта утечка подтверждает растущую тенденцию атак на облачные системы Salesforce, при этом такие группы, как ShinyHunters, используют голосовую социальную инженерию и тактику отложенного вымогательства. GTIG обнаружила связи между этими злоумышленниками и более широкими группами, такими как The Com, известными фишингом и хакерскими атаками . 

Злоупотребление интеграцией Salesforce, особенно связанными приложениями и токенами OAuth, демонстрирует, что технической защиты недостаточно без бдительности пользователей. Организациям следует ужесточить контроль доступа, усовершенствовать многофакторную аутентификацию (MFA) и обучить сотрудников противодействию социальной инженерии , одновременно готовясь к долгосрочным рискам даже после того, как первоначальные нарушения кажутся ограниченными.

About The Author

Gurd

See author's posts

Post Views: 11

Больше историй

n0957fwjf6fh0188ks9ndsprvql0j9al

Мемкоин-лаунчпад Odin.fun взломан, ущерб составил более $7 млн

Gurd 13/08/2025 0
1тошгнпрп

Операторы «большой четверки» предложили запретить звонки в мессенджерах

Gurd 12/08/2025 0
Cisco-ISE-Vulnerability-Exposes-Critical-Remote-Code-Execution-Risk-Across-Enterprise-Networks-2-1

Уязвимость Cisco ISE создает критический риск удаленного выполнения кода в корпоративных сетях

Gurd 12/08/2025 0

Добавить комментарий

Возможно, вы пропустили

artur-hejs

Apтуp Xeйc cкупaeт Ethereum, Lido DAO и Pendle, oжидaя paлли aльткoинoв

Gurd 13/08/2025 0
xyzverse-10

Лидepы pocтa cpeди кpиптoвaлют: MYX, SOON, TROLL, SIREN, ZORA, XYZ

Gurd 13/08/2025 0
putin-tramp

Oтчёты из CШA этoй нeдeли дoлжны пoвлиять нa кpиптopынoк

Gurd 13/08/2025 0
eth-etf-likely-approved

Bлaдeльцы эфиpиумoв cтaли фикcиpoвaть пpибыль, oпacaяcь дaмпa

Gurd 13/08/2025 0
btc-to-1ml-with-trump-as-president

Kpиптoвaлюты oзoлoтят Дoнaльдa Tpaмпa, пpинecя eму $6,4 млpд

Gurd 13/08/2025 0