Um ataque cibernético explorando um aplicativo de terceiros resultou em violações de dados Em várias instâncias do Salesforce, de acordo com o grupo de inteligência de ameaças do Google. Os ataques, atribuídos a um grupo rastreado como UNC6395, alavancou os tokens OAuth comprometidos associados ao aplicativo Salesloft Drift para exfiltrar dados sensíveis.
O Grupo de Inteligência de Ameaças do Google (GTIG) identificou a UNC6395 como o agressor de uma campanha “roubo de dados generalizados”. Esta campanha, que começou por volta de 8 de agosto e continuou até 18 de agosto, direcionou instâncias do Salesforce, explorando tokens de autenticação pertencentes ao Salesloft Drift aplicativo. Este aplicativo, projetado para automatizar os processos de vendas, integra -se aos bancos de dados do Salesforce para fins de comunicação, análise e envolvimento do cliente. Os tokens comprometidos facilitaram o acesso não autorizado a informações confidenciais armazenadas nos sistemas direcionados.
O objetivo principal da UNC6395 foi a extração sistemática de grandes volumes de dados de inúmeras instâncias corporativas do Salesforce. Os pesquisadores do GTIG indicaram que a intenção do ator era colher credenciais sensíveis, focando as chaves de acesso à Amazon Web Services (AWS) (AKIA), senhas e tokens de acesso relacionados a flocos de neve. Uma vez extraído, essas informações podem ser aproveitadas para obter acesso não autorizado a vários sistemas e serviços.
Após a exfiltração de dados, a UNC6395 conduziu pesquisas nas informações roubadas para identificar segredos que poderiam ser usados para comprometer os ambientes das vítimas. O GTIG afirmou que o ator usou consultas específicas para identificar essas credenciais. Para ocultar suas atividades, o grupo excluiu os trabalhos de consulta posteriormente, tentando apagar evidências do roubo de dados. A remoção desses logs tornou o rastreamento de toda a extensão da violação mais difícil, embora o GTIG tenha fornecido orientação para investigar a exposição potencial de dados.
O GTIG emitiu recomendações para remediação e mitigação, enfatizando que o impacto da campanha parece ser limitado aos clientes da Salesloft que integram suas soluções ao serviço Salesforce. Não há evidências sugerindo um impacto direto nos clientes do Google Cloud. No entanto, a GTIG informou que qualquer cliente que utiliza o Salesloft Drift deveria revisar seus objetos Salesforce para qualquer chave de conta de serviço do Google Cloud Platform, pois elas podem ter sido expostas durante o roubo de dados.
Dada a natureza do ataque, o GTIG pediu às organizações que usassem o Drift integrado ao Salesforce a considerar seus dados do Salesforce comprometidos e tomar as etapas imediatas de remediação. Essas etapas foram projetadas para conter a violação e evitar mais acesso não autorizado.
Para abordar a situação, a Salesloft colaborou com o Salesforce para revogar todos os tokens de acesso ativo e atualizar associados ao aplicativo de deriva. Essa ação teve como objetivo impedir o acesso não autorizado em andamento através dos tokens comprometidos. Além disso, o Salesforce removeu o aplicativo Drift do Salesforce AppExchange, com uma investigação mais aprofundada, tornando -o indisponível para novas instalações até que as preocupações de segurança sejam resolvidas. GTIG, Salesforce e Salesloft notificaram organizações que se acredita serem impactadas pelo roubo de dados.
Antes desse incidente, várias empresas de alto nível, incluindo Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday e Google, reportaram violações por meio de uma plataforma de terceiros, que supostamente foi vendedora. O grupo de ameaças Shinyhunters assumiu a responsabilidade por muitos desses ataques, com ataques de Vising citados como o principal método de compromisso. Essas violações anteriores destacaram a vulnerabilidade de sistemas que dependem de integrações de terceiros.
Em junho, o Google informou que um grupo de ameaças motivadas financeiramente, rastreado como UNC6040, estava se passando por equipe de suporte de TI em ataques de vingança para obter acesso aos ambientes de vendas da Salesforce das organizações. O Google afirmou que a UNC6040 alegou ser Shinyhunters. Usando essas táticas, a UNC6040 violou uma das próprias instâncias do Google Salesforce. O relatório destacou a crescente sofisticação dos atores de ameaças na segmentação de ambientes de vendas usando técnicas de engenharia social.
Embora a linha do tempo dessas violações anteriores do Salesforce se sobreponda à atividade de deriva do Salesloft UNC6395, o Google esclareceu que os métodos de compromisso são distintamente diferentes. O Google afirmou que a atividade de deriva do Salesloft da UNC6395 é separada dos ataques de Vishing atribuídos à UNC6040. Um porta -voz do GTIG afirmou que não há evidências convincentes que conectem as duas campanhas, indicando assim que as violações são eventos independentes realizados por diferentes atores de ameaças.
Além das etapas de remediação já tomadas, o Google recomendou que as organizações impactadas procurassem informações e segredos confidenciais contidos nos objetos Salesforce e tomassem as medidas apropriadas. Essas ações incluem a revogação das chaves da API, as credenciais rotativas e a realização de investigações adicionais para determinar se os segredos foram abusados pela UNC6395. As organizações também devem investigar o compromisso e a digitalização para segredos expostos, usando indicadores de compromisso (IOCs) fornecidos pelo GTIG, como endereços IP e seqüências de agentes do usuário identificadas no Postagem do blog Mandiant. Também é recomendável uma busca mais ampla de atividades originárias dos nós de saída do TOR.
Outras etapas de mitigação incluem a revisão dos logs de monitoramento de eventos do Salesforce para obter atividades incomuns associadas ao usuário do Drift Connection, atividade de autenticação do aplicativo conectado ao Drift e eventos exclusivos de que o log executaram as consultas SOQL. As organizações também podem abrir um caso de suporte do Salesforce para obter consultas específicas usadas pelo ator de ameaças e pesquisar objetos do Salesforce para segredos em potencial. Revogação e rotação imediatas das chaves ou segredos descobertos, redefinir senhas e configurar valores de tempo limite da sessão nas configurações da sessão para limitar a vida útil de uma sessão comprometida também são recomendados.
O Google também aconselhou as organizações a endurecer os controles de acesso, garantindo que os aplicativos tenham as permissões mínimas necessárias, aplicando restrições de IP no aplicativo conectado e definindo intervalos de login IP para permitir o acesso apenas a partir de redes confiáveis. Essas medidas visam reduzir a superfície de ataque e limitar o impacto potencial de compromissos futuros.
