O Google revelou que um grupo de ameaças, identificado como UNC6395, tem conduzido uma série de violações de dados direcionadas às instâncias do Salesforce das organizações. As violações foram facilitadas por comprometer os tokens OAuth associados ao aplicativo de terceiros da Salesloft Drift. Essa atividade parece ser distinta dos ataques de Vishing anteriores atribuídos a Shinyhunters, que também direcionavam os ambientes do Salesforce.
O Grupo de Inteligência de Ameaças do Google (GTIG) relatou que a UNC6395 iniciou uma campanha de “roubo de dados generalizada” a partir de 8 de agosto e continuando pelo menos em 18 de agosto. Os atores de ameaças exploraram tokens de autenticação dentro do Salesloft Drift Application, uma ferramenta de vendas de IA projetada para automatizar processos de vendas, como comunicação, análise e engajamento que integram que integrassem a figura de vendas.
De acordo com o GTIG, a UNC6395 “exportou sistematicamente grandes volumes de dados de inúmeras instâncias corporativas do Salesforce”. O objetivo principal foi colher credenciais sensíveis, incluindo as chaves de acesso à Amazon Web Services (AWS) (AKIA), senhas e tokens de acesso relacionados a flácio de neve.
A postagem do blog do GTIG detalhou que, depois de extrair os dados, “o ator pesquisou através dos dados para procurar segredos que poderiam ser potencialmente usados para comprometer os ambientes das vítimas”. Para ocultar suas atividades, os atores de ameaças excluíram empregos de consulta.
Embora não haja indicação de que os logs tenham sido afetados diretamente, o GTIG aconselha as organizações a “revisar os logs relevantes para evidências de exposição aos dados”.
O escopo da campanha é limitado aos clientes da Salesloft que integram suas soluções ao Salesforce. O GTIG esclareceu que não há evidências sugerindo que os clientes do Google Cloud foram diretamente afetados, mas aqueles que utilizam o SalesLoft Drift “devem revisar seus objetos Salesforce para qualquer chave de conta de serviço do Google Cloud Platform”.
O GTIG enfatizou que “as organizações que usam o Drift integradas ao Salesforce devem considerar seus dados do Salesforce comprometidos e são solicitados a tomar medidas imediatas de remediação”.
A Salesloft colaborou com o Salesforce para abordar a situação, revogando todos os tokens de acesso ativo e atualização associados ao aplicativo de deriva. O Salesforce também removeu o aplicativo de deriva do Salesforce AppExchange “até novo aviso e aguardando uma investigação mais aprofundada”. GTIG, Salesforce e Salesloft notificaram todas as organizações afetadas.
O relatório do GTIG segue divulgações de várias empresas de destaque, incluindo Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday e Google, sobre violações por meio de uma plataforma de terceiros, supostamente Salesforce, durante julho e agosto. Os Shinyhunters assumiram a responsabilidade por muitos desses ataques, e ataques de vingança foram identificados como o método de compromisso.
Em junho, o Google informou que um grupo de ameaças motivadas financeiramente, UNC6040 (supostamente associado a Shinyhunters), estava se passando por equipe de suporte de TI em ataques de vingança para infiltrar os ambientes do Salesforce das organizações. No início de agosto, o Google revelou que a UNC6040 violou uma de suas instâncias do Salesforce usando essas táticas.
Enquanto a linha do tempo de algumas dessas violações do Salesforce alinha com as descobertas do GTIG, os métodos de compromisso diferem. O Google afirmou que a atividade de deriva do Salesloft da UNC6395 é distinta dos ataques de Vising atribuídos à UNC6040. Um porta -voz do GTIG confirmou: “Não vimos nenhuma evidência convincente conectando -as”.
O GTIG forneceu recomendações para os defensores, aconselhando as organizações impactadas a procurar informações e segredos confidenciais nos objetos do Salesforce e tomar ações apropriadas, como revogando as chaves da API, as credenciais rotativas e a realização de investigações adicionais para determinar se os segredos foram usados pela UNC6395.
As organizações também devem investigar o compromisso e a digitalização em busca de segredos expostos, procurando os endereços IP e seqüências de agentes do usuário fornecidas pelo GTIG em um indicador de seção de compromisso na postagem do blog Mandiant. Também é recomendável implementar “uma pesquisa mais ampla por qualquer atividade originária dos nós de saída do TOR”.
As etapas adicionais de mitigação incluem a revisão dos logs de monitoramento de eventos do Salesforce para obter atividades incomuns vinculadas ao usuário do Drift Connection, atividade de autenticação do aplicativo conectado ao Drift e eventos exclusivos de que o registro executaram consultas SOQL.
O Google também sugere que as organizações abrem um caso de suporte do Salesforce para obter consultas específicas usadas pelo ator de ameaças e pesquisar objetos do Salesforce para segredos em potencial. Eles também devem girar as credenciais revogando e girando imediatamente quaisquer chaves ou segredos descobertos, redefinindo senhas e configurando valores de tempo limite da sessão nas configurações da sessão para limitar a vida útil de uma sessão comprometida.
O Google recomendou ainda mais os controles de acesso ao endurecer, garantindo que os aplicativos tenham as permissões mínimas necessárias, aplicando restrições de IP no aplicativo conectado e definindo intervalos de login IP para permitir o acesso apenas a partir de redes confiáveis.
Source: Google: UNC6395 viola o Salesforce via Salesloft Drift
