Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion.

Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN.

Mesures défensives recommandées: MFA résistante au phishing (FIDO2), vérification d’identité positive, contrôles de conformité des appareils, restriction des connexions Salesforce à des plages IP de confiance, politiques d’accès API en deny-by-default, retrait de la permission ‘API Enabled’ pour les comptes non essentiels, ainsi que gestion des privilèges, restrictions réseau et device trust.

Journalisation et détection: sources de logs critiques côté Salesforce incluant LoginEventStream, ApiEventStream, BulkApiResultEvent, ReportEventStream et SetupAuditTrail. Règles SIEM proposées: corrélation d’un événement OAuth suivi d’exfiltration dans une fenêtre de 10 minutes; détection d’appels API volumétriques, de téléchargements Bulk dépassant des seuils, et de mouvements latéraux inter-SaaS depuis des IP jugées risquées dans une fenêtre de 60 minutes. 🚨

Indicateurs et TTPs:

  • IOCs: usage d’infrastructures Mullvad VPN (pas d’indicateurs chiffrés fournis dans l’extrait)
  • TTPs: vishing ciblé; abus d’apps OAuth (apps connectées falsifiées); outil Data Loader modifié; exfiltration via Bulk API, REST, exports de rapports; lateral movement vers Okta/Microsoft 365; correlation multi-événements pour la détection. Il s’agit d’une analyse de menace accompagnée de recommandations de durcissement et de règles de détection.

🧠 TTPs et IOCs détectés

TTPs

vishing ciblé; abus d’apps OAuth (apps connectées falsifiées); outil Data Loader modifié; exfiltration via Bulk API, REST, exports de rapports; mouvement latéral vers Okta/Microsoft 365; correlation multi-événements pour la détection.

IOCs

usage d’infrastructures Mullvad VPN

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/unc6040-proactive-hardening-recommendations/

🖴 Archive : https://web.archive.org/web/20250930201222/https://cloud.google.com/blog/topics/threat-intelligence/unc6040-proactive-hardening-recommendations/