FBI je podijelio indikatore kompromitacije (IoCs) povezane sa dvije maliciozne kampanje usmjerene na korisnike Salesforce platforme, koje su rezultirale krađom podataka i iznudom.
Prva kampanja, koja se pripisuje hakerskoj grupi praćenoj pod oznakom UNC6040 i traje već nekoliko mjeseci, oslanja se na glasovni fišing (vishing). Napadači putem poziva ubjeđuju zaposlene u kompromitovanim organizacijama da im odobre pristup Salesforce instanci ili da podijele akreditive za portal.
U pojedinim slučajevima, hakeri navode zaposlene da odobre izmijenjenu verziju Salesforce Data Loader aplikacije, koja im omogućava direktan pristup podacima unutar platforme.
„UNC6040 hakeri koristili su fišing panele, usmjeravajući žrtve da iste otvore putem mobilnih telefona ili radnih računara tokom socijalno-inženjerskih poziva. Nakon dobijanja pristupa, korišćenjem API upita izvlačili su velike količine podataka u cjelini“, navodi FBI u upozorenju.
Nakon krađe podataka, napadači šalju iznude kompanijama, prijeteći da će informacije objaviti javno ukoliko se otkup ne plati u kriptovaluti.
Salesforce je još u martu upozoravao na ovaj tip napada, dok je Google tri mjeseca kasnije otkrio da je UNC6040 u nekim slučajevima prelazio na druge platforme, uključujući Microsoft 365, Okta i Workplace. Grupa UNC6040 je čak tvrdila da je povezana sa ozloglašenom grupom ShinyHunters, koja se dovodi u vezu sa hakerima iz Scattered Spider.
Druga kampanja, na koju FBI posebno upozorava, odnosi se na nedavni masovni napad krađe podataka iz Salesforce-Salesloft integracije preko Drift AI chatbota, koji je pogodio više od 700 organizacija. Napad je pripisan grupi UNC6395.
Hakeri su koristili kompromitovane OAuth tokene za Drift kako bi pristupili Salesforce instancama i izvukli velike količine podataka. Tokene su prethodno eksfiltrisali iz AWS instance Drift-a, nakon što su imali pristup GitHub nalogu kompanije Salesloft u periodu između marta i juna 2025. godine.
Više od deset sajber bezbjednosnih firmi prijavilo je curenje podataka povezano sa ovim napadom, a među posljednjima koje su potvrdile uticaj su HackerOne i Qualys.
Osim objavljivanja IoC-ova, FBI preporučuje organizacijama da uvedu fišing-rezistentnu višefaktorsku autentifikaciju (MFA), obuče svoje call centre za prepoznavanje fišinga, primijene AAA sisteme (autentifikacija, autorizacija i računovodstvo), sprovedu IP ograničenja za pristup, prate logove i redovno pregledaju integracije trećih strana.
„FBI preporučuje da organizacije istraže i provjere indikatore prije preduzimanja mjera, kao što je blokiranje“, navodi se u saopštenju.
Izvor: SecurityWeek
