O Google confirmou que uma de suas instâncias corporativas do Salesforce foi violada em junho por agentes de ameaças sofisticados, resultando no roubo de informações de contato de pequenas e médias empresas.
O incidente destaca a crescente ameaça de ataques de phishing de voz direcionados a ambientes de nuvem corporativos e demonstra como as táticas de engenharia social continuam a evoluir em sofisticação e eficácia.
Os detalhes da violação
De acordo com Grupo de inteligência de ameaças do Google (GTIG), o ataque foi realizado pelo UNC6040, um cluster de ameaças com motivação financeira especializado em campanhas de phishing de voz projetadas para comprometer instâncias do Salesforce para roubo de dados em larga escala.
A instância comprometida continha informações de contato e notas relacionadas para pequenas e médias empresas que trabalham com o Google.
A equipe de segurança do Google respondeu rapidamente ao incidente, realizando uma análise de impacto abrangente e implementando medidas de mitigação imediatas.
A investigação da empresa revelou que os agentes de ameaças recuperaram dados com sucesso durante uma janela limitada antes que o acesso fosse encerrado.
As informações exfiltradas foram confinadas a detalhes básicos de negócios, incluindo nomes de empresas e informações de contato que estão amplamente disponíveis publicamente.
UNC6040 emprega um telefone particularmente convincente Engenharia social técnicas, com operadores se passando por pessoal de suporte de TI para manipular as vítimas.
Os agentes de ameaças geralmente visam funcionários de filiais de empresas multinacionais de língua inglesa, induzindo-os a ações que concedem acesso não autorizado aos ambientes Salesforce.
Um componente-chave de sua metodologia envolve enganar as vítimas para que autorizem aplicativos conectados mal-intencionados ao portal Salesforce de sua organização.
Durante as chamadas de vishing, os invasores orientam os alvos para a página de configuração do aplicativo conectado do Salesforce para aprovar versões modificadas do aplicativo Data Loader legítimo, concedendo inadvertidamente amplos recursos de acesso a dados.
O GTIG observou uma evolução significativa nas táticas, técnicas e procedimentos do UNC6040. Embora o grupo inicialmente dependesse de aplicativos Salesforce Dataloader padrão, eles passaram a usar scripts Python personalizados que executam funções semelhantes.
A cadeia de ataque atualizada agora envolve chamadas de voz para registrar as vítimas enquanto usam redes Mullvad VPN ou TOR, com coleta de dados subsequente automatizada por meio de IPs TOR para complicar os esforços de atribuição.
A violação se conecta a campanhas de extorsão mais amplas rastreadas como UNC6240, que seguem invasões UNC6040 às vezes meses após o início Roubo de dados.
Essas tentativas de extorsão envolvem ligações ou e-mails exigindo pagamentos em bitcoin em 72 horas, com os criminosos alegando afiliação ao notório grupo de hackers ShinyHunters.
Os pesquisadores de segurança do Google acreditam que os agentes de ameaças que usam a marca ShinyHunters podem estar se preparando para escalar as táticas lançando um site de vazamento de dados, provavelmente com o objetivo de aumentar a pressão sobre as vítimas de violações recentes relacionadas ao Salesforce.
Este incidente ressalta a eficácia contínua do phishing de voz como vetor de ataque e destaca como os agentes de ameaças visam cada vez mais a equipe de suporte de TI como pontos de acesso primários para dados corporativos valiosos, demonstrando a necessidade crítica de treinamento de conscientização de segurança aprimorado e protocolos de verificação.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça