Código HTML do Conteúdo

Post: FBI alerta sobre UNC6040, UNC6395 hackers roubam dados do Salesforce - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <p>O FBI emitiu um alerta FLASH alertando que dois clusters de amea&ccedil;as, rastreados como UNC6040 e UNC6395, est&atilde;o comprometendo os ambientes Salesforce das organiza&ccedil;&otilde;es para roubar dados e extorquir v&iacute;timas.</p> <p>&ldquo;O Federal Bureau of Investigation (FBI) est&aacute; lan&ccedil;ando este FLASH para disseminar Indicadores de Comprometimento (IOCs) associados a recentes atividades cibern&eacute;ticas maliciosas por grupos criminosos cibern&eacute;ticos UNC6040 e UNC6395, respons&aacute;veis por um n&uacute;mero crescente de roubos de dados e invas&otilde;es de extors&atilde;o&rdquo;, diz o <a href="https://www.ic3.gov/CSA/2025/250912.pdf" rel="nofollow noopener" target="_blank">Aviso FLASH do FBI</a>.</p> <p>&ldquo;Ambos os grupos foram observados recentemente visando as plataformas Salesforce das organiza&ccedil;&otilde;es por meio de diferentes mecanismos de acesso inicial. O FBI est&aacute; divulgando essas informa&ccedil;&otilde;es para maximizar a conscientiza&ccedil;&atilde;o e fornecer IOCs que podem ser usados pelos destinat&aacute;rios para pesquisa e defesa de rede.</p> <p>UNC6040 foi <a href="https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/" rel="nofollow noopener" target="_blank">divulgado pela primeira vez</a> pela Google Threat Intelligence (Mandiant) em junho, que alertou que, desde o final de 2024, os agentes de amea&ccedil;as estavam usando engenharia social e ataques de vishing para induzir os funcion&aacute;rios a conectar aplicativos maliciosos do Salesforce Data Loader OAuth &agrave;s contas do Salesforce de suas empresas.</p> <p>Em alguns casos, os agentes de amea&ccedil;as se passaram por pessoal de suporte de TI corporativo, que usou vers&otilde;es renomeadas do aplicativo chamadas &ldquo;My Ticket Portal&rdquo;.</p> <p>Uma vez conectados, os agentes de amea&ccedil;as usaram o aplicativo OAuth para exfiltrar em massa dados corporativos do Salesforce, que foram usados em tentativas de extors&atilde;o pelo grupo de extors&atilde;o ShinyHunters.</p> <p>Nesses primeiros ataques de roubo de dados, ShinyHunters disse ao BleepingComputer que eles visavam principalmente o &ldquo;<a href="https://help.salesforce.com/s/articleView?id=commerce.om_account_fields.htm&amp;type=5" rel="nofollow noopener" target="_blank">Contas</a>&rdquo; e &ldquo;<a href="https://help.salesforce.com/s/articleView?id=commerce.om_contact_fields.htm&amp;language=en_US&amp;type=5" rel="nofollow noopener" target="_blank">Contatos</a>&ldquo;, que s&atilde;o usadas para armazenar dados sobre os clientes de uma empresa.</p> <p>Esses ataques de roubo de dados foram generalizados, impactando empresas grandes e conhecidas, como <a href="https://www.bleepingcomputer.com/news/security/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/" rel="nofollow noopener" target="_blank">Pesquise no Google</a>,<a href="https://www.bleepingcomputer.com/news/security/adidas-warns-of-data-breach-after-customer-service-provider-hack/" rel="nofollow noopener" target="_blank">Adidas</a>,<a href="https://www.bleepingcomputer.com/news/security/qantas-confirms-data-breach-impacts-57-million-customers/" rel="nofollow noopener" target="_blank">Qantas</a>,<a href="https://www.bleepingcomputer.com/news/security/allianz-life-confirms-data-breach-impacts-majority-of-14-million-customers/" rel="nofollow noopener" target="_blank">Allianz Life</a>,<a href="https://www.bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/" rel="nofollow noopener" target="_blank">Cisco</a>, <a href="https://databreaches.net/2025/09/11/exclusive-high-end-fashion-retailers-gucci-balenciaga-brion-and-alexander-mcqueen-hit-by-salesforce-attacks/" rel="nofollow noopener" target="_blank">Kering</a>, <a href="https://www.bleepingcomputer.com/news/security/louis-vuitton-says-regional-data-breaches-tied-to-same-cyberattack/" rel="nofollow noopener" target="_blank">Louis Vuitton</a>,<a href="https://www.bleepingcomputer.com/news/security/fashion-giant-dior-discloses-cyberattack-warns-of-data-breach/" rel="nofollow noopener" target="_blank">Dior</a>e<a href="https://www.chosun.com/english/industry-en/2025/05/26/ORM5MULB7NEM7EBUFVXHVLSB4A/" rel="nofollow noopener" target="_blank">Tiffany &amp; Co.</a></p> <p>Ataques posteriores de roubo de dados em agosto tamb&eacute;m visaram clientes do Salesforce, mas desta vez utilizaram tokens roubados do Salesloft Drift OAuth e de atualiza&ccedil;&atilde;o para violar as inst&acirc;ncias do Salesforce dos clientes.</p> <p>Essa atividade &eacute; rastreada como UNC6395 e acredita-se que tenha ocorrido entre 8 e 18 de agosto, com os agentes de amea&ccedil;as usando os tokens para direcionar as informa&ccedil;&otilde;es do caso de suporte da empresa que foram armazenadas no Salesforce.</p> <p>Os dados exfiltrados foram ent&atilde;o analisados para extrair segredos, credenciais e tokens de autentica&ccedil;&atilde;o compartilhados em casos de suporte, incluindo chaves da AWS, senhas e tokens do Snowflake. Essas credenciais podem ser usadas para migrar para outros ambientes de nuvem para roubo de dados adicionais.</p> <p>A Salesloft trabalhou com a Salesforce para revogar todos os tokens Drift e exigiu que os clientes se autenticassem novamente na plataforma.</p> <p>Mais tarde, foi revelado que os agentes da amea&ccedil;a tamb&eacute;m roubaram tokens do Drift Email, que foram usados para acessar e-mails de um pequeno n&uacute;mero de contas do Google Workspace.</p> <p>Uma investiga&ccedil;&atilde;o da Mandiant determinou que o ataque se originou em mar&ccedil;o, quando os reposit&oacute;rios GitHub da Salesloft foram comprometidos, permitindo que os invasores roubassem os tokens Drift OAuth.</p> <p>Como os ataques anteriores, esses novos ataques de roubo de dados do Salesloft Drift afetaram v&aacute;rias empresas, incluindo <a href="https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/" rel="nofollow noopener" target="_blank">Cloudflare</a>,<a href="https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/" rel="nofollow noopener" target="_blank">Zscaler</a>,<a href="https://www.tenable.com/blog/tenable-response-to-salesforce-and-salesloft-drift-incident" rel="nofollow noopener" target="_blank">Sustent&aacute;vel</a>,<a href="https://www.cyberark.com/resources/blog/salesloft-drift-incident-overview-and-cyberarks-response" rel="nofollow noopener" target="_blank">CyberArk</a>,<a href="https://www.elastic.co/blog/elastic-update-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">El&aacute;stico</a>,<a href="https://www.beyondtrust.com/trust-center/security-advisories/salesforce-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">Al&eacute;m da confian&ccedil;a</a>,<a href="https://www.proofpoint.com/us/blog/corporate-news/salesloft-drift-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Ponto de prova</a>,<a href="https://jfrog.com/help/r/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift" rel="nofollow noopener" target="_blank">JFrog</a>,<a href="https://www.nutanix.com/blog/third-party-salesloft-drift-application-incident-response-our-impact-and-action" rel="nofollow noopener" target="_blank">Nutanix</a>,<a href="https://blog.qualys.com/misc/2025/09/06/salesloft-drift-supply-chain-incident" rel="nofollow noopener" target="_blank">Qualys</a>,<a href="https://www.rubrik.com/blog/company/25/salesforce-connected-third-party-drift-application-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Rubrik</a>,<a href="https://www.catonetworks.com/blog/cato-networks-statement-on-salesforce-salesloft-drift-incident/" rel="nofollow noopener" target="_blank">Redes Cato</a>,<a href="https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/" rel="nofollow noopener" target="_blank">Redes de Palo Alto</a>e <a href="https://www.driftbreach.com/" rel="nofollow noopener" target="_blank">muitos mais</a>.</p> <p>Embora o FBI n&atilde;o tenha nomeado os grupos por tr&aacute;s dessas campanhas, o BleepingComputer foi informado pelo grupo de extors&atilde;o ShinyHunters que eles e outros agentes de amea&ccedil;as que se autodenominam &ldquo;Ca&ccedil;adores de Lapsus $ Dispersos, estavam por tr&aacute;s de ambos os grupos de atividade.</p> <p>Esse grupo de hackers afirma ter se originado e se sobreposto aos grupos de extors&atilde;o Lapsus$, Scattered Spider e ShinyHunters.</p> <p>Na quinta-feira, os agentes de amea&ccedil;as anunciaram por meio de um dom&iacute;nio associado ao BreachForums que planejavam &ldquo;escurecer&rdquo; e parar de discutir opera&ccedil;&otilde;es no Telegram.</p> <p>No entanto, em um post de despedida, os hackers alegaram ter obtido acesso &agrave; verifica&ccedil;&atilde;o de antecedentes do E-Check do FBIystem e o sistema de solicita&ccedil;&atilde;o de aplica&ccedil;&atilde;o da lei do Google, publicando capturas de tela como prova.</p> <p>Se leg&iacute;timo, esse acesso permitiria que eles se passassem por policiais e extra&iacute;ssem registros confidenciais de indiv&iacute;duos.</p> <p>Quando contatado pelo BleepingComputer, o FBI se recusou a comentar e o Google n&atilde;o respondeu ao nosso e-mail.</p> <p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br /> <img decoding="async" alt="Relat&oacute;rio Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br /> </a> </p> </div></div>