Les employés sont amenés à accorder un accès d’entreprise à un outil Salesforce modifié via de faux appels de support informatique.
Dans une campagne active, un acteur de menace à motivation financière est les clients de Salesforce de phishing vocal pour compromettre leurs données organisationnelles et effectuer une extorsion ultérieure.
Suivi en UNC6040 par Google Threat Intelligence Group (GTIG), le groupe d’acteur de menace cible les employés des succursales anglophones des sociétés multinationales pour les inciter à accorder un accès sensible ou à partager des références.
Plus précisément, les employés sont dupés pour approuver une «application connectée» malveillante – des versions modifiées du chargeur de données de Salesforce, qui, une fois autorisée, donne aux attaquants un accès direct à l’exfiltrage de grands volumes de données sensibles Salesforce.
Aucun des cas observés dans la campagne n’a révélé des acteurs de menace exploitant une vulnérabilité de Salesforce, ont noté les chercheurs.
Abuser de la fonctionnalité d’intégration des applications de Salesforce
La campagne se concentre sur le chargeur de données de Salesforce, un outil de gestion des données en vrac qui permet aux utilisateurs d’importer, d’exporter, de mettre à jour, de supprimer ou d’insérer de grands volumes d’enregistrements dans la plate-forme Salesforce. Il est livré à la fois avec une interface conviviale et une option de ligne de commande pour la personnalisation et l’automatisation avancées.
L’outil prend en charge OAuth et peut être directement intégré en tant que «application connectée» dans Salesforce. Selon GTIG, les attaquants exploitent cela en convaincant les victimes, souvent lors des appels téléphoniques, pour ouvrir la page de configuration des applications connectées et entrer un code de connexion, reliant efficacement une version voyoue et contrôlée par l’attaquant de Data Loader à l’environnement Salesforce de la victime.
La capacité d’utiliser les versions modifiées du chargeur de données a été trouvée conforme à un guidage récent que Salesforce avait émis sur de tels abus. À cette occasion, les chercheurs de GTIG ont constaté que la capacité et la technique différaient d’une intrusion à l’autre.
« Dans un cas, un acteur de menace a utilisé de petites tailles de morceaux pour l’exfiltration des données de Salesforce, mais n’a pu récupérer qu’environ 10% des données avant la détection et l’accès », ont déclaré les chercheurs. «Dans un autre cas, de nombreuses requêtes de test ont été faites avec de petites tailles de morceaux initialement. Une fois que des informations suffisantes ont été recueillies, l’acteur a rapidement augmenté le volume d’exfiltration pour extraire des tables entières.»
Une autre astuce impliquait de nommer le chargeur de données modifié «mon portail de billets» pour correspondre au prétexte de support informatique utilisé pendant les appels Vishing.
Mouvement latéral pour plus d’extorsion
Après avoir violé Salesforce, le groupe se déplace latéralement sur les services cloud, ciblant des outils comme Okta, Microsoft 365 et Workplace pour élargir la portée de la violation.
Les chercheurs soulignent que, dans certains cas, des tentatives d’extorsion ont fait surface des mois après l’intrusion initiale, les acteurs de la menace revendiquant même des liens avec le tristement célèbre groupe Shinyhunters, probablement comme tactique de pression.
Le retard dans les demandes d’extorsion laisse également entendre que l’UNC6040 pourrait être vendu ou remettre des données volées à d’autres acteurs de menace, qui l’utilisent ensuite pour l’extorsion, la revente ou d’autres attaques.
Les résultats du GTIG suggèrent que l’UNC6040 peut faire partie d’un plus grand réseau criminel, où différents groupes gèrent différentes étapes d’une attaque. Ceci est basé sur des similitudes observées dans les tactiques, les techniques et les procédures (TTP) entre UNC6040 et d’autres acteurs de menace liés à un collectif vaguement connecté connu sous le nom de «COM», dont l’araignée dispersée fait partie.
GTIG a recommandé des étapes sous la «responsabilité partagée»
GTIG a noté que si les plates-formes comme Salesforce offrent de solides protections intégrées, il appartient aux clients de configurer correctement l’accès, de gérer les autorisations et de s’assurer que les utilisateurs sont formés en fonction des meilleures pratiques.
Quelques meilleures pratiques de responsabilité partagée dans le cloud à considérer comprennent l’adhésion au principe du moindre privilège, la surveillance de l’accès aux applications connectées, l’application des restrictions d’accès basées sur IP et l’authentification multi-facteurs (MFA). Les tactiques de l’UNC6040 ne sont pas isolées. Des campagnes d’ingénierie sociale similaires similaires ont fait surface ces derniers mois, notamment les attaques hybrides de Vishing de Spisted Spider observées en mai 2024, et la campagne de logiciels malveillants de LetsCall en Corée du Sud.
