Abus D’OAuth

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle. L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA. ...