Федеральное бюро расследований (ФБР) США опубликовало экстренное предупреждение с индикаторами компрометации (IOC), связанными с деятельностью двух киберпреступных группировок - UNC6040 и UNC6395. Эти группы целенаправленно атакуют клиентские среды Salesforce с целью кражи конфиденциальной информации. Документ подготовлен совместно с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и призван помочь специалистам по безопасности в своевременном обнаружении и нейтрализации угроз.
Описание
С октября 2024 года группа UNC6040 активно использует методы социальной инженерии, в частности голосовой фишинг (вишинг). Злоумышленники, представляясь сотрудниками технической поддержки, убеждают работников колл-центров предоставить им учётные данные или коды многофакторной аутентификации (MFA). Жертв направляют на страницу настройки подключённых приложений в Salesforce, где те авторизуют поддельное приложение Data Loader. После одобрения эта вредоносная интеграция получает OAuth-токены, которые система Salesforce считает легитимными. Это позволяет обойти стандартные средства защиты, включая сброс паролей, оповещения о входе и запросы MFA. Получив доступ, злоумышленники осуществляют массовую выгрузку данных через API-запросы без immediate обнаружения.
В отличие от них, группа UNC6395 в августе 2025 года использовала скомпрометированные OAuth-токены, связанные с чат-ботом Drift от Salesloft. Получив действительные токены, злоумышленники получили прямой доступ к клиентским данным через доверенную интеграцию. Salesforce и Salesloft оперативно отозвали все активные токены доступа для приложения Drift 20 августа, заблокировав дальнейшие действия attackers.
В документе ФБР приведены подробные списки IOC, включая IP-адреса, URL-адреса и строки пользовательских агентов, связанные с активностью обеих группировок. Инфраструктура UNC6040 включает более ста IP-адресов, в том числе 13.67.175.79, 20.190.130.40, 23.145.40.165 и 146.70.211.119. Среди используемых URL - login.salesforce[.]com/setup/connect с различными параметрами user_code, а также поддельные домены, например help[victim][.]com. Группа UNC6395 использовала около двадцати IP-адресов, включая 208.68.36.90, 154.41.95.2 и 185.220.101.180, а также строки пользовательских агентов, такие как Salesforce-Multi-Org-Fetcher/1.0 и python-requests/2.32.4. Эти данные помогут специалистам настраивать правила обнаружения, блокировать вредоносный трафик и проводить ретроспективный анализ логов.
Для защиты от атак, использующих OAuth, ФБР рекомендует организациям применять многоуровневый подход. Ключевыми мерами являются обучение сотрудников распознаванию социальной инженерии, внедрение устойчивой к фишингу MFA, а также строгий контроль аутентификации, авторизации и учёта (AAA). Следует ограничить доступ сторонних интеграций по принципу наименьших привилегий, регулярно аудировать подключённые приложения и отзывать неиспользуемые OAuth-токены. Также важно ограничивать доступ по IP-адресам и отслеживать аномальную активность в API.
ФБР призывает организации проверять логи на соответствие опубликованным IOC, использовать системы обнаружения вторжений (IDS) и оперативно сообщать о подозрительной активности в местные отделения бюро или через Интернет-центр жалоб на киберпреступления (IC3). Совместное использование информации об угрозах поможет предотвратить будущие атаки и защитить конфиденциальные данные в облачных средах.
Индикаторы компрометации
IPv4
- 104.193.135.221
- 104.223.118.62
- 13.67.175.79
- 141.98.252.189
- 146.70.165.47
- 146.70.168.239
- 146.70.173.60
- 146.70.185.47
- 146.70.189.111
- 146.70.189.47
- 146.70.198.112
- 146.70.211.119
- 146.70.211.183
- 146.70.211.55
- 147.161.173.90
- 149.22.81.201
- 151.242.41.182
- 151.242.58.76
- 154.41.95.2
- 163.5.149.152
- 176.65.149.100
- 179.43.159.198
- 185.130.47.58
- 185.141.119.136
- 185.141.119.138
- 185.141.119.151
- 185.141.119.166
- 185.141.119.168
- 185.141.119.181
- 185.141.119.184
- 185.141.119.185
- 185.207.107.130
- 185.209.199.56
- 185.220.101.133
- 185.220.101.143
- 185.220.101.164
- 185.220.101.167
- 185.220.101.169
- 185.220.101.180
- 185.220.101.185
- 185.220.101.33
- 191.96.207.201
- 192.198.82.235
- 192.42.116.179
- 192.42.116.20
- 194.15.36.117
- 195.47.238.178
- 195.47.238.83
- 195.54.130.100
- 196.251.83.162
- 198.244.224.200
- 198.44.129.56
- 198.44.129.88
- 198.54.130.100
- 198.54.130.108
- 198.54.133.123
- 20.190.130.40
- 20.190.151.38
- 20.190.157.160
- 20.190.157.98
- 205.234.181.14
- 206.217.206.104
- 206.217.206.124
- 206.217.206.14
- 206.217.206.25
- 206.217.206.26
- 206.217.206.64
- 206.217.206.84
- 208.131.130.53
- 208.131.130.71
- 208.131.130.91
- 208.68.36.90
- 23.145.40.165
- 23.145.40.167
- 23.145.40.99
- 23.162.8.66
- 23.234.69.167
- 23.94.126.63
- 31.58.169.85
- 31.58.169.92
- 31.58.169.96
- 34.86.51.128
- 35.186.181.1
- 37.19.200.132
- 37.19.200.141
- 37.19.200.154
- 37.19.200.167
- 37.19.221.179
- 38.22.104.226
- 44.215.108.109
- 45.83.220.206
- 51.89.240.10
- 64.94.84.78
- 64.95.11.225
- 64.95.84.159
- 66.63.167.122
- 67.217.228.216
- 68.235.43.202
- 68.235.46.151
- 68.235.46.202
- 68.235.46.208
- 68.235.46.22
- 68.63.167.122
- 69.246.124.204
- 72.5.42.72
- 79.127.217.44
- 83.147.52.41
- 87.120.112.134
- 94.156.167.237
- 96.44.189.109
- 96.44.191.141
- 96.44.191.157
URLs
- 91.199.42.164/login
- http://64.95.11.112/hello.php
- https://help[victim].com
- https://login.salesforce.com/setup/connect
- Login.salesforce.com/setup/connect?user_code=8KCQGTVU
- Login.salesforce.com/setup/connect?user_code=aKYF7V5N
User-Agent
- Salesforce-Multi-Org-Fetcher/1.0
- Salesforce-CLI/1.0
- python-requests/2.32.4
- Python/3.11 aiohttp/3.12.15
