Google ha confirmado que una de sus instancias corporativas de Salesforce se vio comprometida en junio por el grupo de amenazas rastreado como UNC6040.
Este incidente es parte de una campaña de ataque de Salesforce que involucra ataques de phishing de voz destinados a robar datos confidenciales de los entornos de Salesforce de las organizaciones, seguido de demandas de extorsión.
La violación destaca los crecientes riesgos de tácticas de ingeniería social dirigidas a plataformas en la nube, y los atacantes se hacen pasar por el apoyo de TI para obtener acceso no autorizado.
Según el Grupo de Inteligencia de Amenazos (GTIG) de Google, la intrusión se produjo a través de métodos similares observados en otras operaciones de UNC6040.
Los atacantes utilizaron el phishing de voz de Vishing para engañar a los empleados para que autorizaran una aplicación conectada maliciosa, a menudo una versión modificada de la herramienta de cargador de datos de Salesforce.
En el caso de Google, la instancia impactada almacenó información de contacto y notas para pequeñas y medianas empresas. El análisis de GTIG mostró que los actores de amenaza recuperaron datos durante una breve ventana antes de que se revocara el acceso.
Afortunadamente, la información exfiltrada se limitó a detalles básicos y en gran medida disponibles en gran medida, como nombres comerciales y datos de contacto. Google respondió rápidamente cortando el acceso, realizando un análisis de impacto e implementando mitigaciones.
UNC6040 Vishing Tactics
Este evento destaca las tácticas cambiantes de UNC6040. Inicialmente, basándose en el cargador de datos de Salesforce, el grupo ha pasado a scripts de Python personalizados que replican sus funciones.
Los piratas informáticos UNC6040 inician ataques con llamadas de voz a través de Mullvad VPN o TOR Networks, automatizando la recopilación de datos después. GTIG señala que los atacantes han pasado de crear cuentas de prueba con Webmail al uso de cuentas comprometidas de organizaciones no relacionadas para registrar aplicaciones maliciosas.
Esta adaptación complica el seguimiento y la atribución, lo que dificulta que los equipos de seguridad detecten y respondan.
La extorsión juega un papel clave en el libro de jugadas de UNC6040. Después del robo de datos, que puede ocurrir meses antes, las víctimas reciben demandas de pagos de bitcoin dentro de las 72 horas, a menudo a través de correos electrónicos de direcciones como ShinyCorp@tuta (.) Com o ShinyGroup@tuta (.) Com.
Los actores reclaman falsamente afiliación con el famoso grupo Shinyhunters para aumentar la presión. GTIG advierte que estos actores de amenaza pronto pueden lanzar un sitio de filtración de datos para aumentar las tácticas, lo que puede exponer datos robados de infracciones recientes, incluidas las vinculadas a los hacks de Salesforce.
La infraestructura de la campaña se superpone con elementos vinculados a “The Com”, un colectivo libremente organizado conocido por tácticas de ingeniería social similares. UNC6040 se dirige a empleados de habla inglesa en empresas multinacionales, explotando su confianza en las llamadas de soporte de TI para cosechar credenciales y plataformas de acceso como Okta y Microsoft 365.
En algunas intrusiones, los atacantes tienen herramientas personalizadas con nombres como “My Ticket Portal” para alinearse con sus pretextos de phishing, lo que demuestra un alto nivel de sofisticación.
Quebrada enfatizado que estos ataques explotan las vulnerabilidades humanas en lugar de los defectos de la fuerza de ventas. No hubo debilidades inherentes a la plataforma; En cambio, el éxito se deriva de convencer a los usuarios a otorgar acceso. Esta tendencia indica un cambio hacia el personal de IT como puntos de entrada para la exfiltración de datos.
Para combatir tales amenazas, los expertos recomiendan defensas robustas. Las organizaciones deben hacer cumplir el principio de menor privilegio, limitando los permisos para herramientas como el cargador de datos. La gestión rigurosa de aplicaciones conectadas, restricciones de acceso basadas en IP y autenticación universal multifactor (MFA) es crucial.
El monitoreo avanzado a través de Salesforce Shield puede detectar anomalías como grandes descargas de datos. Las auditorías regulares y la capacitación de usuarios sobre tácticas de Vishing son esenciales para evitar la fatiga de MFA y el intercambio de credenciales.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
