FBI alerta sobre UNC6040, UNC6395 hackers roubam dados do Salesforce – Against Invaders – Notícias de CyberSecurity para humanos.

Relatório Picus Blue 2025

O FBI emitiu um alerta FLASH alertando que dois clusters de ameaças, rastreados como UNC6040 e UNC6395, estão comprometendo os ambientes Salesforce das organizações para roubar dados e extorquir vítimas.

“O Federal Bureau of Investigation (FBI) está lançando este FLASH para disseminar Indicadores de Comprometimento (IOCs) associados a recentes atividades cibernéticas maliciosas por grupos criminosos cibernéticos UNC6040 e UNC6395, responsáveis por um número crescente de roubos de dados e invasões de extorsão”, diz o Aviso FLASH do FBI.

“Ambos os grupos foram observados recentemente visando as plataformas Salesforce das organizações por meio de diferentes mecanismos de acesso inicial. O FBI está divulgando essas informações para maximizar a conscientização e fornecer IOCs que podem ser usados pelos destinatários para pesquisa e defesa de rede.

UNC6040 foi divulgado pela primeira vez pela Google Threat Intelligence (Mandiant) em junho, que alertou que, desde o final de 2024, os agentes de ameaças estavam usando engenharia social e ataques de vishing para induzir os funcionários a conectar aplicativos maliciosos do Salesforce Data Loader OAuth às contas do Salesforce de suas empresas.

Em alguns casos, os agentes de ameaças se passaram por pessoal de suporte de TI corporativo, que usou versões renomeadas do aplicativo chamadas “My Ticket Portal”.

Uma vez conectados, os agentes de ameaças usaram o aplicativo OAuth para exfiltrar em massa dados corporativos do Salesforce, que foram usados em tentativas de extorsão pelo grupo de extorsão ShinyHunters.

Nesses primeiros ataques de roubo de dados, ShinyHunters disse ao BleepingComputer que eles visavam principalmente o “Contas” e “Contatos“, que são usadas para armazenar dados sobre os clientes de uma empresa.

Esses ataques de roubo de dados foram generalizados, impactando empresas grandes e conhecidas, como Pesquise no Google,Adidas,Qantas,Allianz Life,Cisco, Kering, Louis Vuitton,DioreTiffany & Co.

Ataques posteriores de roubo de dados em agosto também visaram clientes do Salesforce, mas desta vez utilizaram tokens roubados do Salesloft Drift OAuth e de atualização para violar as instâncias do Salesforce dos clientes.

Essa atividade é rastreada como UNC6395 e acredita-se que tenha ocorrido entre 8 e 18 de agosto, com os agentes de ameaças usando os tokens para direcionar as informações do caso de suporte da empresa que foram armazenadas no Salesforce.

Os dados exfiltrados foram então analisados para extrair segredos, credenciais e tokens de autenticação compartilhados em casos de suporte, incluindo chaves da AWS, senhas e tokens do Snowflake. Essas credenciais podem ser usadas para migrar para outros ambientes de nuvem para roubo de dados adicionais.

A Salesloft trabalhou com a Salesforce para revogar todos os tokens Drift e exigiu que os clientes se autenticassem novamente na plataforma.

Mais tarde, foi revelado que os agentes da ameaça também roubaram tokens do Drift Email, que foram usados para acessar e-mails de um pequeno número de contas do Google Workspace.

Uma investigação da Mandiant determinou que o ataque se originou em março, quando os repositórios GitHub da Salesloft foram comprometidos, permitindo que os invasores roubassem os tokens Drift OAuth.

Como os ataques anteriores, esses novos ataques de roubo de dados do Salesloft Drift afetaram várias empresas, incluindo Cloudflare,Zscaler,Sustentável,CyberArk,Elástico,Além da confiança,Ponto de prova,JFrog,Nutanix,Qualys,Rubrik,Redes Cato,Redes de Palo Altoe muitos mais.

Embora o FBI não tenha nomeado os grupos por trás dessas campanhas, o BleepingComputer foi informado pelo grupo de extorsão ShinyHunters que eles e outros agentes de ameaças que se autodenominam “Caçadores de Lapsus $ Dispersos, estavam por trás de ambos os grupos de atividade.

Esse grupo de hackers afirma ter se originado e se sobreposto aos grupos de extorsão Lapsus$, Scattered Spider e ShinyHunters.

Na quinta-feira, os agentes de ameaças anunciaram por meio de um domínio associado ao BreachForums que planejavam “escurecer” e parar de discutir operações no Telegram.

No entanto, em um post de despedida, os hackers alegaram ter obtido acesso à verificação de antecedentes do E-Check do FBIystem e o sistema de solicitação de aplicação da lei do Google, publicando capturas de tela como prova.

Se legítimo, esse acesso permitiria que eles se passassem por policiais e extraíssem registros confidenciais de indivíduos.

Quando contatado pelo BleepingComputer, o FBI se recusou a comentar e o Google não respondeu ao nosso e-mail.


Relatório Picus Blue 2025

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.