Les experts disent que l’attaque reflète des violations récentes à Google, Pandora et Cisco, révélant une campagne coordonnée exploitant les plateformes CRM et la confiance des employés dans toutes les industries.
Selon les experts, la plate-forme CRM de Cyberattack sur les logiciels de logiciels d’entreprise fait probablement partie d’une campagne d’ingénierie sociale ciblée plus large ciblée.
Bien que l’entreprise n’ait pas nommé la plate-forme affectée dans sa déclaration publique vendredi, les chercheurs l’ont lié à une campagne d’ingénierie sociale ciblée Salesforce associée au groupe de menace Shinyhunters.
« C’est un autre rappel que dans la cybersécurité, les violations se produisent rarement isolément; ils ondulent », a déclaré Chad Cragle, CISO à Deepwatch. «Les attaquants ne s’arrêtent pas chez un fournisseur; ils pivotent à travers l’écosystème, à la recherche du prochain lien faible. Pensez-y comme une rangée de dominos – une fois que l’on tombe, le reste est en jeu.»
Cette divulgation survient quelques jours seulement après que Google l’a également admis dans son environnement Salesforce, qui fait partie de la campagne en cours qui a également frappé Pandora, Adidas, Qantas, Chanel, Tiffany & Co., Cisco et d’autres marques mondiales.
Workday est l’un des principaux fournisseurs d’applications cloud pour les finances, les ressources humaines (RH) et la gestion de la main-d’œuvre, avec une main-d’œuvre mondiale dépassant 19 000 employés desservant plus de 11 000 clients qui incluent plus de la moitié des entreprises du Fortune 500.
La violation a une portée limitée, mais des avertissements plus larges
La violation de Workday a été identifiée pour la première fois le 6 août, la journée de travail confirmant que seules les «coordonnées commerciales couramment disponibles» – telles que les noms, les adresses e-mail et les numéros de téléphone – ont été exposées.
« Il n’y a aucune indication de l’accès aux locataires des clients ou aux données qui leur sont », a déclaré Workday dans un communiqué. « Nous avons agi rapidement pour réduire l’accès et avons ajouté des garanties supplémentaires pour protéger contre des incidents similaires à l’avenir. »
Tout en s’abstenant de nommer le logiciel CRM ou les attaquants, la société a révélé que les attaquants ont utilisé le Vishing familier et la prétexting téléphonique pour se faire passer pour le personnel interne et inciter les employés à accorder l’accès.
« L’incident de CRM de Workday montre le même livre de jeu vu dans les campagnes liées à Salesforce », a noté J Stephen Kowski, CTO Field à Slashnext. «Les profils sociaux sont détournés ou usurpés, les utilisateurs sont attirés par des flux de connexion légitimes et des jetons volés ou des subventions OAuth donnent rapidement un accès en profondeur.»
Workday a souligné qu’il ne demande jamais de références sensibles par téléphone et a renforcé les systèmes de formation et de détection pour éviter les récidives.
Jackpot d’ingénierie sociale pour Shinyhunters
La journée de travail se cache en un schéma d’attaques beaucoup plus important exploitant les instances de Salesforce dans plusieurs industries. Les rapports attribuent la campagne à Shinyhunters, le célèbre BreachForums Admin, que Google suivait UNC6040 lors de sa première révélation.
Les victimes incluent Google lui-même, qui a déclaré que les attaquants avaient accédé à un environnement Salesforce en juin, Pandora, qui a confirmé le vol de données de contact client et une longue liste d’entreprises mondiales telles que Adidas, Quantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel, Cisco et Air France-KLM.
«L’augmentation des attaques d’ingénierie sociale par des acteurs malveillants devrait alarmer l’équipe de sécurité de toute organisation», a déclaré Thomas Richards, directeur des pratiques de sécurité des infrastructures chez Black Duck. «Cela démontre également que les attaquants sont hors d’autres options et recourent à des méthodes plus difficiles et longues pour attaquer ces organisations. Chaque élément d’information qu’ils gagnent dans ces attaques peuvent être utilisés pour mener d’autres campagnes et se rapprocher de leurs objectifs.»
Boris Copilot, ingénieur principal de la sécurité chez Black Duck, a fait écho aux préoccupations concernant l’incident conduisant peut-être à de nouvelles attaques. «La journée de travail doit rester prudente et être consciente des escroqueries potentielles, des attaques de phishing et des techniques d’ingénierie sociale», a-t-il déclaré. «Les employés doivent être conscients des procédures et comprendre qu’ils ne seront pas pénalisés pour avoir refusé de fournir des informations ou d’aider quelqu’un qui se fait passer pour un supérieur, y compris même un PDG.»
Shinyhunters, un acteur de vol de données prolifique actif depuis 2020, est lié à des violations dans les référentiels GitHub de Microsoft, les bases de données des clients AT&T et PowerSchool, entre autres, cimentant leur réputation en tant qu’un des acteurs les plus perturbateurs de la scène du cybercriminalité. Notamment, la police française a arrêté un présumé opérateur de Shinyhunters en juin, ainsi que quatre autres administrateurs de BreachForums, dont Intelbroker (alias Kai West), le tristement célèbre cybercrimiral désormais accusé aux États-Unis avec une chaîne de hacks à fort impact depuis 2022.
