À noter : dans tous les cas observés, les attaquants ont manipulé directement les utilisateurs finaux sans exploiter aucune vulnérabilité inhérente à Salesforce.

Voici les principaux enseignements des recherches du GTIG :
• Le vecteur est le vishing : les opérateurs d’UNC6040 se font passer par téléphone pour des membres du support informatique, et incitent les employés à installer des applications connectées Salesforce modifiées (non autorisées par Salesforce), souvent des variantes de Data Loader. Cela leur permet d’accéder à des données sensibles et de se déplacer latéralement vers d’autres services cloud ou réseaux internes de l’entreprise.
o Méthodologie cohérente : cette méthode d’abus des fonctionnalités de Data Loader via des applications connectées modifiées est cohérente avec les observations récentes partagées par Salesforce dans ses recommandations pour sécuriser les environnements Salesforce face à ce type de menaces.
• Manipulation des utilisateurs, et non faille de sécurité : il est crucial de rappeler que les attaquants exploitent la confiance des utilisateurs, et non une vulnérabilité propre à Salesforce.
• Impact : l’évaluation actuelle du GTIG indique qu’un nombre limité d’organisations a été touché dans le cadre de cette campagne. Environ 20 entreprises ont été compromises. La campagne d’UNC6040 a débuté il y a plusieurs mois mais elle reste active.
• Ciblage : le GTIG qualifie UNC6040 d’« opportuniste » : les secteurs visés vont de l’hôtellerie au retail, en passant par l’éducation et d’autres domaines, tant en Europe qu’en Amérique.
• Extorsion dynamique : les activités d’extorsion peuvent survenir des mois après l’intrusion initiale, ce qui laisse penser qu’UNC6040 pourrait collaborer avec un autre acteur malveillant chargé de monétiser l’accès aux données volées.
• Tactiques d’intimidation : lors de certaines tentatives d’extorsion, UNC6040 se réclame de groupes comme ShinyHunters, probablement pour accentuer la pression sur les victimes.
o Techniques utilisées : le GTIG a constaté de nombreuses similitudes entre l’infrastructure, les TTPs (Tactiques, Techniques et Procédures) d’UNC6040 et les activités de la communauté cybercriminelle souterraine The Com (à laquelle appartient aussi UNC3944 / Scattered Spider).
o UNC6040 a également été vu utilisant des interfaces de phishing Okta, demandant directement des codes MFA, et utilisant des adresses IP de Mullvad VPN pour l’exfiltration des données.