Команда Google Threat Intelligence на прошлой неделе опубликовала отчет о системных атаках на организации, целью которых является хищение данных из CRM-системы Salesforce. Важной особенностью атаки является использование так называемого vishing или голосового фишинга. Работает атака следующим образом: сотруднику компании звонят на мобильный телефон, представляются специалистом техподдержки и убеждают ввести в интерфейсе Salesforce код для авторизации стороннего приложения.
Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
В ряде атак Data Loader переименовывался, чтобы выглядеть максимально безобидно или лучше соответствовать «легенде» фишингового звонка. Например, использовалось имя My Ticket Portal.
В некоторых случаях эксфильтрация данных происходила спустя несколько месяцев после взлома. Возможно, это указывает на то, что после получения доступа злоумышленники затем передают его другой группировке, которая способна монетизировать украденные данные. Иногде клиентская информация использовалась для вымогательства денег у жертвы, с угрозой выложить данные в открытый доступ. Помимо взлома Salesforce, злоумышленники также пытались получить доступ к другой корпоративной информации через кражу учеток в сервисе авторизации Okta и приложениях Microsoft 365.
Для уменьшения вероятности взлома авторы отчета рекомендуют открывать доступ к бизнес-инструментам только с корпоративных IP-адресов, использовать принцип выдачи сотрудникам минимальных привилегий либо вовсе запрещать подключение сторонних приложений для всех работников, кроме тех, кому это действительно необходимо. Похожие рекомендации опубликованы и на сайте Salesforce.
В отдельной публикации эксперты Google анализируют голосовой фишинг на примере этой и других кампаний. В ней также упоминается иная тактика, при которой таргетируются не рядовые сотрудники, а отдел техподдержки. При звонке туда злоумышленники представляются работниками, утверждают, что забыли пароль для доступа к компьютеру или к конкретному сервису. Такие атаки могут быть успешными, когда для идентификации сотрудника запрашиваются данные, которые достаточно легко найти в открытом доступе.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали два отчета о развитии информационных угроз за первый квартал 2025 года со статистикой по мобильным устройствам и персональным компьютерам.
Компания OpenAI опубликовала очередной отчет о вредоносном использовании сервисов искусственного интеллекта. Большая часть отчета посвящена различным методам генерации контента для социальных сетей, включая создание текстовых сообщений и комментариев, а также изображений в промышленных масштабах. В различных операциях подобного плана в том числе широко используется возможность создания сообщений на разных языках. Интерес также представляет попытка написания вредоносного приложения с использованием инструментов OpenAI. В описании этого инцидента отмечается попытка скрыть вредоносную деятельность: использовались одноразовые учетные записи, в каждой из которых злоумышленник запрашивал создание отдельной функции приложения.
В свежем релизе браузера Google Chrome закрыта очередная уязвимость нулевого дня, активно эксплуатируемая на момент обнаружения.
На черном рынке продается эксплойт для критической уязвимости в приложении Roundcube, обеспечивающем доступ к электронной почте через браузер. Речь идет об уязвимости CVE-2025-49113, закрытой 1 июня. Она приводит к выполнению произвольного кода и компрометации сервиса. Для успешной атаки требуется сначала войти в учетную запись в сервисе. Технические детали уязвимости опубликованы здесь.
Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
В ряде атак Data Loader переименовывался, чтобы выглядеть максимально безобидно или лучше соответствовать «легенде» фишингового звонка. Например, использовалось имя My Ticket Portal.
В некоторых случаях эксфильтрация данных происходила спустя несколько месяцев после взлома. Возможно, это указывает на то, что после получения доступа злоумышленники затем передают его другой группировке, которая способна монетизировать украденные данные. Иногде клиентская информация использовалась для вымогательства денег у жертвы, с угрозой выложить данные в открытый доступ. Помимо взлома Salesforce, злоумышленники также пытались получить доступ к другой корпоративной информации через кражу учеток в сервисе авторизации Okta и приложениях Microsoft 365.
Для уменьшения вероятности взлома авторы отчета рекомендуют открывать доступ к бизнес-инструментам только с корпоративных IP-адресов, использовать принцип выдачи сотрудникам минимальных привилегий либо вовсе запрещать подключение сторонних приложений для всех работников, кроме тех, кому это действительно необходимо. Похожие рекомендации опубликованы и на сайте Salesforce.
В отдельной публикации эксперты Google анализируют голосовой фишинг на примере этой и других кампаний. В ней также упоминается иная тактика, при которой таргетируются не рядовые сотрудники, а отдел техподдержки. При звонке туда злоумышленники представляются работниками, утверждают, что забыли пароль для доступа к компьютеру или к конкретному сервису. Такие атаки могут быть успешными, когда для идентификации сотрудника запрашиваются данные, которые достаточно легко найти в открытом доступе.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали два отчета о развитии информационных угроз за первый квартал 2025 года со статистикой по мобильным устройствам и персональным компьютерам.
Компания OpenAI опубликовала очередной отчет о вредоносном использовании сервисов искусственного интеллекта. Большая часть отчета посвящена различным методам генерации контента для социальных сетей, включая создание текстовых сообщений и комментариев, а также изображений в промышленных масштабах. В различных операциях подобного плана в том числе широко используется возможность создания сообщений на разных языках. Интерес также представляет попытка написания вредоносного приложения с использованием инструментов OpenAI. В описании этого инцидента отмечается попытка скрыть вредоносную деятельность: использовались одноразовые учетные записи, в каждой из которых злоумышленник запрашивал создание отдельной функции приложения.
В свежем релизе браузера Google Chrome закрыта очередная уязвимость нулевого дня, активно эксплуатируемая на момент обнаружения.
На черном рынке продается эксплойт для критической уязвимости в приложении Roundcube, обеспечивающем доступ к электронной почте через браузер. Речь идет об уязвимости CVE-2025-49113, закрытой 1 июня. Она приводит к выполнению произвольного кода и компрометации сервиса. Для успешной атаки требуется сначала войти в учетную запись в сервисе. Технические детали уязвимости опубликованы здесь.