Google ha revelado que un grupo de amenazas, identificado como UNC6395, ha estado realizando una serie de violaciones de datos dirigidas a las instancias de la fuerza de ventas de las organizaciones. Las infracciones se facilitaron comprometiendo los tokens OAuth asociados con la aplicación de terceros de SalesLoft Drift. Esta actividad parece ser distinta de los ataques anteriores de Vishing atribuido a Shinyhunters, que también se dirigieron a los entornos de Salesforce.
El Grupo de Inteligencia de Amenazos de Google (GTIG) informó que UNC6395 inició una campaña de “robo de datos generalizados” a partir del 8 de agosto y continuó hasta al menos el 18 de agosto. Los actores de amenaza explotaron tokens de autenticación dentro de la aplicación de deriva de SalesLoft, una herramienta con IAI diseñada para automatizar procesos de ventas como comunicación, análisis e participación, que integran con los datos de ventas.
Según el GTIG, UNC6395 “exportó sistemáticamente grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas”. El objetivo principal era cosechar credenciales confidenciales, incluidas las claves de acceso de Amazon Web Services (AWS) (AKIA), contraseñas y tokens de acceso relacionados con el copo de nieve.
La publicación del blog GTIG detalló que después de extraer los datos, “el actor luego buscó a través de los datos para buscar secretos que podrían usarse potencialmente para comprometer los entornos de víctimas”. Para ocultar sus actividades, los actores de amenaza eliminaron los trabajos de consulta.
Aunque no hay indicios de que los registros se hayan afectado directamente, GTIG aconseja a las organizaciones que “revisen los registros relevantes para la evidencia de la exposición a los datos”.
El alcance de la campaña se limita a los clientes de SalesLoft que integran sus soluciones con Salesforce. GTIG aclaró que no hay evidencia que sugiera que los clientes de Google Cloud se vieron directamente afectados, pero aquellos que utilizan SalesLoft Drift “deberían revisar sus objetos de Salesforce para cualquier tecla de cuenta de servicio de Google Cloud Platform”.
GTIG enfatizó que “las organizaciones que usan una deriva integrada con Salesforce deben considerar sus datos de Salesforce comprometidos y se les insta a tomar pasos de remediación inmediatos”.
Salesloft colaboró con Salesforce para abordar la situación revocando todo el acceso activo y actualiza los tokens asociados con la aplicación de deriva. Salesforce también ha eliminado la solicitud de deriva del Salesforce AppExchange “hasta nuevo aviso y en espera de una mayor investigación”. GTIG, Salesforce y SalesLoft han notificado a las organizaciones afectadas.
El informe GTIG sigue divulgaciones de múltiples compañías prominentes, incluidas Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday y Google, con respecto a las infracciones a través de una plataforma de terceros, según los informes Sales Salesforce, durante julio y agosto. Shinyhunters se atribuyeron la responsabilidad de muchos de estos ataques, y los ataques de Vishing se han identificado como el método de compromiso.
En junio, Google informó que un grupo de amenazas motivado financieramente, UNC6040 (supuestamente asociado con Shinyhunters), se hacía pasar por el personal de apoyo de TI en los ataques de Vishing para infiltrarse en los entornos de la fuerza de ventas de las organizaciones. A principios de agosto, Google reveló que UNC6040 violó una de sus instancias de Salesforce utilizando estas tácticas.
Mientras que la línea de tiempo de algunas de estas violaciones de Salesforce se alinea con los hallazgos de GTIG, los métodos de compromiso difieren. Google declaró que la actividad de deriva de SalesLoft UNC6395 es distinta de los ataques de Vishing atribuidos a UNC6040. Un portavoz de GTIG confirmó: “No hemos visto ninguna evidencia convincente que los conecte”.
GTIG proporcionó recomendaciones para los defensores, asesorando a las organizaciones impactadas a buscar información confidencial y secretos dentro de los objetos de Salesforce y tomar las medidas apropiadas, como revocar las claves API, las credenciales rotativas y realizar investigaciones adicionales para determinar si UNC6395 utilizaron los secretos.
Las organizaciones también deben investigar el compromiso y el escaneo de secretos expuestos buscando las direcciones IP y las cadenas de agentes de usuario proporcionados por GTIG en una sección de indicadores de compromiso en la publicación de blog Mandiant. También se recomienda implementar “una búsqueda más amplia de cualquier actividad que se origine desde los nodos de salida de TOR”.
Los pasos de mitigación adicionales incluyen revisar los registros de monitoreo de eventos de Salesforce para una actividad inusual vinculada al usuario de la conexión de deriva, la actividad de autenticación de la aplicación conectada a la deriva y eventos únicos que registran consultas SOQL ejecutadas.
Google también sugiere que las organizaciones abren un caso de soporte de Salesforce para obtener consultas específicas utilizadas por el actor de amenazas y los objetos de búsqueda de Salesforce para obtener secretos potenciales. También deben rotar las credenciales revocando y girando inmediatamente las teclas o secretos descubiertos, restableciendo las contraseñas y configurando los valores de tiempo de espera de la sesión en la configuración de la sesión para limitar la vida útil de una sesión comprometida.
Google recomendó además el endurecimiento de los controles de acceso asegurando que las aplicaciones tengan los permisos mínimos necesarios, aplicando restricciones IP en la aplicación conectada y definiendo rangos de inicio de sesión para permitir el acceso solo desde redes confiables.
Source: Google: UNC6395 infringe Salesforce a través de Salesloft Drift
