Federální úřad pro vyšetřování (FBI) vydal varování typu FLASH, které upozorňuje na aktivity dvou skupin označovaných jako UNC6040 a UNC6395. Tyto skupiny kompromitují prostředí Salesforce s cílem odcizit firemní data a následně vydírat oběti. FBI zveřejnila indikátory kompromitace, jako jsou IP adresy, URL a řetězce uživatelských agentů, aby pomohla organizacím posílit obranu.

Podle společnosti Mandiant se UNC6040 zaměřuje na sociální inženýrství a vishingové útoky, při nichž útočníci přesvědčují zaměstnance k instalaci škodlivých OAuth aplikací. Tyto aplikace pak slouží k hromadné exfiltraci dat ze Salesforce, včetně zákaznických databází „Accounts“ a „Contacts“. Mezi zasaženými firmami byly Google, Adidas, Cisco či luxusní značky Louis Vuitton a Tiffany & Co. Exfiltrovaná data se objevila při pokusech o vydírání skupinou ShinyHunters.

Novější útoky označované jako UNC6395 probíhaly v srpnu a využívaly odcizené OAuth a refresh tokeny ze služby Salesloft Drift. Útočníci se zaměřili na podpůrné případy uložené v Salesforce, odkud získali přihlašovací údaje, autentizační tokeny a další citlivé informace. Ty mohly být následně využity k proniknutí do dalších cloudových prostředí. Salesloft ve spolupráci se Salesforce odvolal kompromitované tokeny a vyžadoval nové ověření uživatelů.

Vyšetřování ukázalo, že útok začal kompromitací repozitářů Salesloft na GitHubu, což útočníkům umožnilo získat tokeny Drift. Následné kampaně zasáhly řadu významných technologických firem včetně Cloudflare, Zscaler, Palo Alto Networks či Proofpoint. Skupina ShinyHunters tvrdí, že aktivity UNC6040 i UNC6395 souvisejí s jejich operacemi a částečně se překrývají se skupinami Lapsus$ a Scattered Spider.

Podle FBI ukazují tyto útoky na rostoucí sofistikovanost metod krádeže dat a vydírání. Organizace využívající Salesforce mají implementovat vícefaktorovou autentizaci, sledovat známé indikátory kompromitace a omezit přístup OAuth aplikacím na nezbytné minimum.

Zdroj: BleepingComputer