Una investigación de Google Threat Intelligence Group señala ataques agresivos de vishing comprometiendo instancias de Salesforce

Google Threat Intelligence Group (GTIG) acaba de publicar una nueva investigación sobre UNC6040, un grupo de amenazas con motivaciones económicas especializado en campañas de phishing por voz (vishing). Se ha observado que este grupo está comprometiendo instancias de Salesforce en Europa y América engañando a empleados de diversas empresas para que instalen aplicaciones modificadas conectadas a Salesforce, con el objetivo de robar datos.

Nota importante: En todos los casos observados, los atacantes se basaron en la manipulación de los usuarios finales, sin explotar ninguna vulnerabilidad inherente a Salesforce.

A continuación, encontrarás algunos detalles de las conclusiones de la investigación:

• El vishing es el vector: los operadores de UNC6040 se hacen pasar por el servicio de asistencia técnica por teléfono y engañan a los empleados para que instalen aplicaciones conectadas a Salesforce modificadas (no autorizadas por Salesforce), a menudo variantes de Data Loader. Esto le da a UNC6040 acceso a datos confidenciales y facilita el movimiento lateral a otros servicios en la nube y redes corporativas internas.
  • Esta metodología de abuso de las funcionalidades de Data Loader a través de aplicaciones conectadas modificadas es coherente con las observaciones recientes detalladas por Salesforce en sus directrices sobre la protección de los entornos de Salesforce frente a este tipo de amenazas.

• Manipulación del usuario, no una vulnerabilidad de Salesforce: es fundamental señalar que los atacantes se aprovechan de la confianza del usuario final, no de ninguna vulnerabilidad inherente a Salesforce.
• Impacto: La evaluación actual de GTIG indica que un número limitado de organizaciones se vieron afectadas por esta campaña, aproximadamente 20 organizaciones. La campaña de UNC6040 comenzó hace meses y sigue activa.
• Objetivo: Los expertos de GTIG describen a UNC6040 como «oportunista», y sus objetivos han abarcado los sectores de la hostelería, el comercio minorista, la educación y otros sectores en Europa y América.
• Dinámica de la extorsión: Las actividades de extorsión a veces surgen meses después de la intrusión inicial, lo que podría sugerir que UNC6040 se ha asociado con un segundo actor malicioso que monetiza el acceso a los datos robados.
• Tradecraft: Se ha observado que UNC6040 afirma estar afiliado a grupos como ShinyHunters en los intentos de extorsión, probablemente para aumentar la presión sobre las víctimas.
  • GTIG ha identificado amplias coincidencias entre la infraestructura y las TTP de UNC6040 y la actividad asociada con la comunidad clandestina «The Com», que es un colectivo informal de ciberdelincuentes (UNC3944 / Scattered Spider forma parte de este mismo ecosistema).
  • GTIG observó que UNC6040 utilizaba paneles de phishing de Okta, solicitaba directamente códigos MFA y aprovechaba las IP de Mullvad VPN para la exfiltración de datos.

No dudes en avisarme si tienes cualquier duda y se la trasladamos a los expertos de GTIG.

¡Muchas gracias!