Coca-Cola "попалась на звонок": хакеры выманили 64 гига через поддельный инструмент
Алло, мы из Salesforce. Установите вирус, пожалуйста.
Хакеры из группировки UNC6040, отслеживаемой Google Threat Intelligence Group , были уличены в серии целевых атак на корпоративных клиентов Salesforce. Их основной приём — голосовой фишинг , или вишинг: с помощью телефонного звонка они убеждают сотрудников установить поддельную версию легитимного инструмента Data Loader, предназначенного для массовой загрузки данных в систему Salesforce.
Сценарий атаки строится вокруг социальной инженерии : жертве звонят и просят перейти на якобы официальный сайт для подключения приложений Salesforce. Там размещено вредоносное приложение, маскирующееся под Data Loader. Если сотрудник одобряет установку, злоумышленники получают прямой доступ к Salesforce-окружению — с возможностью выполнять запросы, выгружать чувствительные данные и расширять контроль над инфраструктурой.
Доступ, полученный через такую схему, нередко открывает путь дальше — во внутренние корпоративные сети и другие облачные сервисы организации. Как подчёркивает команда Mandiant (подразделение Google), UNC6040 — это финансово мотивированная группа, специализирующаяся на компрометации Salesforce-учёток с целью крупномасштабной кражи данных .
Техническая инфраструктура UNC6040, по словам исследователей, демонстрирует общие черты с децентрализованной киберпреступной экосистемой The Com, включающей мелкие, слабо связанные между собой группы.
По данным Google, за последние месяцы UNC6040 атаковала около 20 организаций. В ряде случаев злоумышленникам действительно удалось вывести данные. В числе жертв оказался Coca-Cola Europacific Partners — один из крупнейших дистрибьюторов Coca-Cola в Великобритании. Хакеры похитили 64 ГБ данных. При этом, как предполагается, прямого взлома IT-инфраструктуры Coca-Cola не было.
Сама Salesforce ещё в марте 2025 года опубликовала предупреждение о возможных атаках. Представители подчеркнули, что описанная угроза не связана с какими-либо уязвимостями в платформе. По их словам, атаки основываются исключительно на социальной инженерии и недостаточной киберграмотности отдельных сотрудников. Подобные угрозы облачной безопасности требуют комплексного подхода к защите корпоративных систем.
Точное количество пострадавших клиентов компания раскрывать отказалась, однако отметила, что речь идёт лишь о небольшом числе случаев и что инцидент не носит масштабного характера.