FBI ostrzega przed atakami na Salesforce. Na celowniku UNC6040 i UNC6395

Cyberprzestępcy wykorzystują nowe techniki wymuszeń

FBI wydało alert dotyczący aktywności dwóch grup cyberprzestępczych – UNC6040 i UNC6395, które coraz częściej prowadzą kampanie kradzieży danych i wymuszeń, wykorzystując platformy Salesforce.

Według śledczych UNC6395 w sierpniu 2025 r. przeprowadziło szeroką kampanię wykradania danych, korzystając ze skompromitowanych tokenów OAuth aplikacji Salesloft Drift, zintegrowanej z Salesforce. Źródłem problemu miał być wyciek z konta GitHub firmy, co doprowadziło do czasowego wyłączenia aplikacji i wdrożenia nowych zabezpieczeń.

Z kolei UNC6040, aktywne od 2024 r., stosuje voice phishing (vishing) do przejmowania kont Salesforce. Następnie wykorzystuje m.in. zmodyfikowaną wersję Salesforce Data Loader oraz własne skrypty w Pythonie, aby hurtowo wykradać dane i później je wykorzystywać w procesach wymuszeń.

FBI podkreśla, że ataki te dotykają różnych sektorów, w tym także podmioty opieki zdrowotnej. American Hospital Association (AHA) zwraca uwagę, że każda organizacja korzystająca z Salesforce powinna natychmiast wdrożyć dodatkowe środki ochronne – od wzmocnienia kontroli dostępu i rotacji haseł, po monitorowanie nietypowych zapytań API.

Zobacz też: Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce

Źródła:
The Hacker News
American Hospital Association

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps