06/06/25
Их основной приём — голосовой фишинг, или вишинг: с помощью телефонного звонка они убеждают сотрудников установить поддельную версию легитимного инструмента Data Loader, предназначенного для массовой загрузки данных в систему Salesforce.
Жертве звонят и просят перейти на якобы официальный сайт для подключения приложений Salesforce. Там размещено вредоносное приложение, маскирующееся под Data Loader. Если сотрудник одобряет установку, злоумышленники получают прямой доступ к Salesforce-окружению — с возможностью выполнять запросы, выгружать чувствительные данные и расширять контроль над инфраструктурой.
Доступ, полученный через такую схему, нередко открывает путь дальше — во внутренние корпоративные сети и другие облачные сервисы организации. Как подчёркивает команда Mandiant (подразделение Google), UNC6040 — это финансово мотивированная группа, специализирующаяся на компрометации Salesforce-учёток с целью крупномасштабной кражи данных .
Техническая инфраструктура UNC6040, по словам исследователей, демонстрирует общие черты с децентрализованной киберпреступной экосистемой The Com, включающей мелкие, слабо связанные между собой группы.
По данным Google, за последние месяцы UNC6040 атаковала около 20 организаций. В ряде случаев злоумышленникам действительно удалось вывести данные. В числе жертв оказался Coca-Cola Europacific Partners — один из крупнейших дистрибьюторов Coca-Cola в Великобритании. Хакеры похитили 64 ГБ данных. При этом, как предполагается, прямого взлома IT-инфраструктуры Coca-Cola не было.
