Anunțul provine de la FBI și vizează două grupuri cibernetice care compromit mediile Salesforce pentru a sustrage date și a șantaja victimele. Istoricul atacurilor asupra platformelor cloud și serviciilor terțe a demonstrat că o simplă conexiune OAuth poate deschide porți periculoase, acum aceeași metodă este folosită pentru a extrage volume mari de informații corporative.
FBI a emis un FLASH care conține Indicatori de Compromitere (IOC) asociați activităților malițioase ale clusterelor UNC6040 și UNC6395, grupuri implicate într‑un val crescător de furturi de date și tentative de extorcare. Ambele colective au fost observate atacând instance Salesforce ale organizațiilor, utilizând mecanisme diferite pentru a obține accesul inițial. Scopul comunicatului este sporirea gradului de conștientizare și furnizarea de IOC-uri pe care echipele de securitate să le folosească în investigații și în apărarea rețelelor.
UNC6040 a fost semnalat prima dată de Google Threat Intelligence (Mandiant) în iunie, care a descris campanii în desfășurare încă de la finalul anului 2024. Atacatorii au folosit inginerie socială și apeluri telefonice pentru a determina angajații să conecteze aplicații OAuth malițioase ale Salesforce Data Loader la conturile companiei. În unele cazuri, atacatorii s‑au prezentat drept personalul de suport IT și au folosit versiuni redenumite ale aplicației, precum My Ticket Portal. Odată aprobată, aplicația OAuth a permis exfiltrarea în masă a datelor din Salesforce, care au fost folosite ulterior în tentative de extorcare de către grupul ShinyHunters. În acele incidente timpurii, ShinyHunters a declarat că a vizat în principal tabelele Accounts și Contacts, care conțin date despre clienți. Campaniile au afectat companii mari și cunoscute, printre care Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior și Tiffany & Co.
În august, un alt val de furturi a vizat tot clienți Salesforce, însă printr‑un vector diferit: tokenuri OAuth și refresh furate de la Salesloft Drift. Activitatea atribuită UNC6395 pare să fi avut loc între 8 și 18 august, când atacatorii au folosit tokenuri compromise pentru a accesa informații din cazurile de suport stocate în Salesforce. Datele exfiltrate au fost analizate pentru a extrage secrete, credențiale și tokenuri de autentificare din cazuri de suport, inclusiv chei AWS, parole și tokenuri Snowflake. Aceste acreditări pot fi folosite apoi pentru pivotarea către alte medii cloud și continuarea furtului de date. Salesloft a colaborat cu Salesforce pentru a invalida toate tokenurile Drift și a impune reautentificarea clienților. Ulterior s‑a constatat că atacatorii au furat și tokenuri pentru Drift Email, utilizate pentru a accesa mesaje din câteva conturi Google Workspace.
Investigațiile Mandiant indică faptul că compromiterea a început în martie, când repository‑urile GitHub ale Salesloft au fost infiltrate, ceea ce a permis sustragerea tokenurilor Drift. Ca în alte cazuri, victimele au inclus numeroase companii majore: Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks și altele.
FBI nu a identificat explicit actorii din spatele campaniilor, dar ShinyHunters a afirmat pentru BleepingComputer că ei și alți actori care se autointitulează Scattered Lapsus$ Hunters sunt responsabili pentru ambele clustere. Această comunitate de hackeri pretinde că are legături și suprapuneri cu Lapsus$, Scattered Spider și ShinyHunters. Recent, atacatorii au anunțat pe un domeniu asociat BreachForums că intenționează să se retragă din discuțiile publice de pe Telegram. Într‑un mesaj de despărțire, au susținut că au obținut acces la sistemul E‑Check al FBI (folosit pentru verificări de fond) și la sistemul Google Law Enforcement Request, publicând capturi de ecran ca „dovadă”. Dacă aceste accesuri sunt reale, le-ar permite să se prezinte drept autorități și să consulte înregistrări sensibile ale unor persoane. Când BleepingComputer a căutat comentarii, FBI a refuzat, iar Google nu a răspuns la e‑mail.
Aceste incidente reconfirmă două lecții clare: dependența crescândă de tokenuri OAuth și integrarea extinsă cu servicii terțe măresc suprafața de atac, iar compromiterea depozitelor de cod sursă poate provoca efecte în lanț, afectând mii de clienți. În practică, asta implică verificări mai riguroase ale aplicațiilor OAuth, monitorizare sporită a activităților anormale în Salesforce și proceduri rapide de revocare a tokenurilor compromise. Cazul Salesloft demonstrează cât de rapid un incident într‑un repo GitHub se poate transforma într‑o breșă care afectează companii precum Cloudflare sau Palo Alto Networks. În plus, legătura cu grupuri de tip ShinyHunters sau Lapsus$ evidențiază modul în care datele exfiltrate sunt folosite pentru presiune și extorcare, nu doar pentru vânzare pe dark web.
FBI a pus la dispoziție IOC‑uri pentru echipele de securitate; acestea includ artefacte tehnice și indicatori care pot ajuta la detectarea și blocarea activităților similare. Repozitarele compromise, tokenurile OAuth furate, apelurile de tip vishing și aplicațiile OAuth aparent legitime folosite drept paravan sunt elemente recurente în aceste operațiuni. Măsurile preventive includ forțarea reautentificărilor după incidente, rotația tokenurilor, politici stricte de aprobare a aplicațiilor terțe și instruire continuă a angajaților privind ingineria socială. Un atac care expune tabele precum Accounts și Contacts poate afecta confidențialitatea clienților și poate genera costuri pentru notificări, investigații și remediere.
Pretinderea unui grup că are acces la E‑Check și la sistemul Google Law Enforcement Request aduce riscuri suplimentare de impersonare și acces la informații sensibile despre persoane. Accesul la astfel de resurse ar putea facilita atacuri de inginerie socială sau tentative de compromitere a altor sisteme prin prezentarea ca actor legitim. Situația rămâne activă, iar recomandarea este ca organizațiile care folosesc Salesforce sau integrarea cu Salesloft/Drift să verifice rapid orice tokenuri, aplicații conectate și să aplice controale stricte asupra accesului la date sensibile din cazurile de suport.
Salesloft, Salesforce și echipele afectate au luat măsuri reactive, iar investigațiile continuă. Aceste evenimente reamintesc că ecosistemele cloud interconectate necesită procese bine puse la punct: scanare a repository‑urilor, revizuire a acceselor OAuth, monitorizare de anomalii și proceduri clare pentru revocarea acreditărilor compromise.
UNC6040, UNC6395, Salesloft, Drift, ShinyHunters, Cloudflare și Google sunt toate nume care apar în acest val de incidente; s‑a raportat că între 8 și 18 august au avut loc atacuri folosind tokenuri furate, iar anterior, campanii similare din 2024 foloseau inginerie socială și apeluri telefonice pentru a obține acces OAuth. Revocarea tokenurilor Drift și reautentificările forțate au fost printre răspunsurile imediate. Datele vizate includ tabelele Accounts și Contacts, dar și secrete găsite în cazurile de suport, precum chei AWS sau tokenuri Snowflake.
Rămâne întrebarea practică: cum îți protejezi mediul când un simplu token OAuth poate deschide uși esențiale? Ai verificat recent aplicațiile OAuth conectate la Salesforce și ai forțat reautentificarea acolo unde e necesar?
Fii primul care comentează