TL;DR: O grupo ShinyHunters explorou vulnerabilidades no Salesforce do Google, utilizando voice phishing para obter acesso e exfiltrar dados corporativos. Eles abusaram de permissões em aplicativos conectados e se movimentaram lateralmente para outros serviços, como Okta e Microsoft 365. Especialistas recomendam medidas como desabilitar o acesso à API para perfis desnecessários e implementar autenticação multifator para mitigar esses riscos.
Takeaways:
- O ataque inicial utilizou engenharia social (voice phishing) para comprometer a autenticação via OAuth.
- A movimentação lateral permitiu o acesso a outros serviços integrados, ampliando o impacto do ataque.
- A exfiltração de dados levou a tentativas de extorsão, ameaçando a divulgação pública das informações roubadas.
- Há uma sobreposição operacional entre diferentes grupos de ameaça, como UNC6040 e UNC3944, exigindo defesas multicamadas.
- Medidas de mitigação incluem desabilitar acessos desnecessários à API, auditorias regulares de Connected Apps e implementação de autenticação multifator robusta.
Ataque do Grupo ShinyHunters Explora Vulnerabilidades no Salesforce e Vaza Dados Corporativos, Incluindo Google
Introdução
No cenário atual da cibersegurança, a proteção dos ambientes SaaS tem se tornado uma prioridade para organizações que dependem de plataformas como o Salesforce para a gestão de dados críticos. Incidentes recentes demonstram que mesmo grandes corporações podem ser alvos de ataques sofisticados, onde a exploração de vulnerabilidades na autenticação e no gerenciamento de permissões pode resultar em graves impactos. Este artigo didático apresenta uma análise detalhada do ataque perpetrado pelo grupo ShinyHunters, focando nos métodos empregados e nas lições que devem ser aprendidas para fortalecer a segurança dos sistemas.
A investigação conduzida pelo Google Threat Intelligence Group confirmou que o incidente envolveu a exfiltração de dados do ambiente CRM, evidenciando vulnerabilidades associadas à engenharia social e ao abuso de permissões em aplicativos conectados. A estratégia inicial, baseada em técnicas de voice phishing, permitiu aos invasores obter acesso através de aplicações fraudulentas, um método que se demonstra cada vez mais comum em cenários de ameaças modernas. A complexidade do ataque, que envolveu a movimentação lateral entre diversos serviços integrados, ressalta a importância de uma defesa robusta e de processos de monitoramento contínuo.
Ao detalhar os vetores de ataque, os mecanismos de exploração e as recomendações técnicas para mitigação, este conteúdo busca orientar tanto profissionais de segurança quanto gestores na compreensão dos riscos enfrentados em ambientes SaaS. Os exemplos práticos, quotes técnicos e casos de estudo incluídos ao longo do artigo ilustram as nuances das táticas empregadas pelos criminosos cibernéticos. Dessa forma, o artigo funciona como um guia informativo, enfatizando a necessidade de estratégias integradas e controles precisos para evitar futuras violações.
Visão Geral do Incidente de Segurança no Salesforce do Google
O incidente envolvendo o ambiente CRM do Google revelou a vulnerabilidade dos sistemas SaaS diante de ataques sofisticados. O grupo ShinyHunters (UNC6040) explorou falhas na autenticação de usuários e abusou das permissões de aplicativos conectados para exfiltrar dados críticos. A confirmação do ataque pelo Google Threat Intelligence Group reforça a gravidade da situação e a necessidade de revisões contínuas nos protocolos de segurança.
Os invasores se valeram de técnicas de engenharia social para comprometer o processo de autenticação, utilizando métodos que induziram os funcionários a conceder acesso indevido. Essa abordagem envolveu a manipulação de informações e a exploração de pontos fracos no gerenciamento de Connected Apps, demonstrando a facilidade com que vulnerabilidades podem ser comprometidas. A experiência mostra que mesmo mecanismos de proteção tradicionais podem ser burlados quando combinados com táticas persuasivas e sofisticadas.
Com a exfiltração de dados realizados por meio do ambiente Salesforce, ficou evidente que a integridade das informações corporativas estava em risco. Informações sensíveis e estratégicas foram expostas, o que levanta alertas sobre a necessidade de controles mais rígidos e monitoramento constante dos acessos. Essa situação ressalta a importância de revisar as práticas de segurança implementadas e de adotar medidas que possam evitar a recorrência de incidentes semelhantes.
Vetor de Acesso Inicial: Voice Phishing e Abuso de OAuth
O vetor inicial do ataque foi executado através de uma estratégia de voice phishing, em que os invasores realizaram ligações telefônicas fraudulentas a funcionários. Essas chamadas visaram convencer os colaboradores a fornecer acesso a aplicativos OAuth falsos, possibilitando a obtenção de credenciais e permissões indevidas. Tal técnica evidencia como a engenharia social pode ser utilizada para enganar agentes humanos e contornar barreiras técnicas.
Os aplicativos falsos se apresentavam com nomes aparentemente legítimos, como “Salesforce Data Loader” ou “My Ticket Portal”, mascarando sua real intenção. Um exemplo prático desse método foi relatado por fontes que descrevem a utilização desses aplicativos para acessar objetos padrão do Salesforce (Accounts, Contacts, Opportunities e Notes) via API REST. A combinação de voice phishing com o abuso de permissões OAuth mostra a vulnerabilidade que existe na integração de aplicações e na aceitação automática de solicitações de acesso.
Esta abordagem inovadora para conseguir acesso evidencia a necessidade de mecanismos adicionais de autenticação e verificação. A utilização de códigos de verificação offline ou a implementação de processos de dupla validação podem ser estratégias eficazes para mitigar esse tipo de ameaça. O caso demonstra que, sem a devida atenção ao fator humano e à segurança dos processos de autorização, atacantes podem explorar facilmente ambientes que aparentam ser seguros.
Movimentação Lateral e Persistência na Infraestrutura
Após o acesso inicial, os invasores expandiram sua presença na infraestrutura, realizando movimentações laterais para comprometer serviços integrados. Essa tática buscou explorar plataformas adicionais, como Okta, Workplace by Meta e Microsoft 365, ampliando a superfície de ataque. O uso de VPNs comerciais, como a Mullvad, foi uma estratégia empregada para anonimizar o tráfego e dificultar a detecção dos movimentos.
Ao invadir serviços de autenticação e colaboração, os atacantes foram capazes de escalar privilégios e obter informações complementares sobre as operações internas. Essa etapa permitiu que eles não apenas permanecessem ocultos, mas também consolidassem acesso a dados sensíveis de diferentes áreas da organização. A exploração de múltiplos pontos de entrada evidencia a fragilidade da segmentação e do monitoramento dentro de ambientes conectados.
A persistência na infraestrutura se evidenciou com a capacidade de acessar emails, arquivos e informações de contexto organizacional essenciais presentes no Microsoft 365 e no Workplace by Meta. Esse movimento lateral reforça a importância de controles de segurança que monitorem internamente as comunicações e os acessos entre sistemas. O cenário descrito demonstra que, sem uma estratégia de defesa multicamadas, o impacto de um ataque pode se multiplicar rapidamente por toda a organização.
Exfiltração de Dados e Tentativas de Extorsão
A fase de exfiltração foi determinante para viabilizar o roubo de dados críticos, causando repercussões significativas para as empresas afetadas. Dados de contato e informações consideradas públicas, mas estratégicas, foram extraídos do ambiente CRM, abrindo a possibilidade para ações extorsivas. A extração foi realizada de forma a evitar a detecção por sistemas de monitoramento, utilizando técnicas discretas de acesso via API REST.
Empresas como Qantas, Allianz Life, Adidas e subsidiárias da LVMH foram mencionadas em casos similares, onde a exfiltração de dados permitiu a realização de extorsões. Um caso de estudo detalhado apontou que os invasores enviaram mensagens privadas de extorsão assinadas por “ShinyHunters”, ameaçando publicar os dados comprometidos. Essa tática, ao combinar o roubo de informações com a ameaça de vazamento, aumenta a pressão sobre as organizações e evidencia o potencial de danos reputacionais.
O método empregado na exfiltração demonstra uma associação entre técnicas de invasão e estratégias de extorsão, ampliando o impacto do ataque. As ameaças de divulgação pública dos dados roubados funcionam como um forte elemento de coação e intimidação para as vítimas. Esse cenário ressalta a urgência de medidas de resposta rápida e de estratégias de backup e recuperação que possam mitigar os efeitos de eventuais vazamentos.
Relações entre Grupos de Ameaça
Análises de táticas, técnicas e procedimentos (TTPs) indicam que há uma sobreposição operacional entre grupos de ameaça como UNC6040, UNC6240 e UNC3944, também identificado como Scattered Spider. Essa interrelação sugere uma convergência de métodos, mesmo que cada grupo mantenha especializações distintas. O estudo dessas relações é fundamental para compreender o cenário diversificado das ameaças cibernéticas atuais.
Especialistas das empresas Mandiant e Recorded Future afirmam que, apesar dos pontos de convergência, cada grupo opera com objetivos e métodos específicos. Enquanto o UNC6040 tem seu foco nos ataques contra ambientes SaaS e sistemas de CRM, o grupo UNC3944 se concentra em operações envolvendo ransomwares e compromissos de identidade. Essa distinção permite que as organizações calibram suas defesas segundo o perfil e a complexidade do ator por trás do ataque.
A análise das relações entre esses grupos evidencia a importância de estratégias de defesa que considerem múltiplos vetores de ataque. Um quote técnico ressalta: “Análises dos TTPs indicam sobreposição operacional entre os grupos, mas as especializações diferentes ajudam a entender a complexidade dos ataques”, reforçando a necessidade de abordagens integradas. Essa compreensão aprofundada serve de base para o desenvolvimento de medidas preventivas e para a adaptação dos controles de segurança às ameaças emergentes.
Recomendações Técnicas para Mitigação
Especialistas em segurança recomendam a implementação de medidas mitigatórias imediatas para reduzir os riscos associados ao acesso indevido em ambientes SaaS e serviços integrados. Uma das ações fundamentais é desabilitar a opção “API Enabled” para perfis que não exigem acesso programático, minimizando a possibilidade de exploração automatizada. Essa prática, quando associada a uma revisão constante dos acessos, contribui significativamente para o fortalecimento dos sistemas.
Além disso, é crucial auditar periodicamente os Connected Apps e restringir logins por IP a faixas confiáveis em plataformas como Salesforce, Okta e Microsoft 365. Um exemplo prático destacou que aplicativos fraudulentos, disfarçados de “Salesforce Data Loader” ou “My Ticket Portal”, permitiram o acesso indevido e ilustram a importância de uma verificação rigorosa. A imposição de autenticação multifator (MFA) robusta, preferencialmente com dispositivos de hardware, serve como barreira adicional contra acessos não autorizados.
Complementarmente, a implementação de soluções como o Salesforce Shield e o Event Monitoring possibilita a identificação precoce de atividades anômalas, como downloads em massa ou alterações súbitas em permissões. Um quote técnico do Google Threat Intelligence Group enfatiza: “Especialistas em segurança recomendam as seguintes ações mitigatórias imediatas para ambientes Salesforce e integrados…”, ressaltando a necessidade de respostas rápidas e sistemáticas. Essa abordagem integrada é vital para preservar a integridade dos dados e mitigar riscos decorrentes de ataques complexos.
Conclusão
O incidente de segurança no Salesforce do Google, perpetrado pelo grupo ShinyHunters, evidencia a importância de proteger ambientes SaaS contra ameaças que exploram vulnerabilidades por meio de engenharia social e abuso de permissões. O resumo dos acontecimentos mostra como técnicas sofisticadas podem culminar na exfiltração de dados críticos e na posterior extorsão. Essa realidade reforça a necessidade de uma constante vigilância e da implementação de políticas de segurança robustas.
Os tópicos abordados neste artigo demonstram a conexão entre o vetor de acesso inicial, a movimentação lateral e a exfiltração de informações, assim como a complexidade gerada pela atuação de múltiplos grupos de ameaça. A análise das relações entre UNC6040, UNC6240 e UNC3944 ilustra a diversidade e a especialização dos cibercriminosos, exigindo estratégias de defesa que sejam adaptáveis e integradas. Essa compreensão é vital para orientar organizações a desenvolverem respostas ágeis e eficazes aos ataques.
As implicações futuras apontam para a continuidade de ameaças que utilizam técnicas como o voice phishing e o abuso de OAuth para comprometer ambientes corporativos. Investir em autenticação multifator, restringir o acesso apenas ao necessário e educar os usuários sobre os riscos do voice phishing são medidas essenciais para mitigar esses riscos. Dessa forma, o episódio analisado serve de alerta e fundamenta a necessidade de desenvolver práticas de segurança mais resilientes e adaptáveis aos desafios cibernéticos emergentes.
Referência Principal
- Título: Google Confirms Breach in Salesforce CRM Data Theft Campaign Linked to ShinyHunters
- Fonte: Netizen
- Link: https://www.netizen.net/news/post/6769/google-confirms-breach-in-salesforce-crm-data-theft-campaign-linked-to-shinyhunters
Referências Adicionais
- Título: Google says hackers breached one of its databases
Fonte: Axios
Link: https://www.axios.com/2025/08/06/google-shinyhunters-salesforce-data-breach - Título: Google Warns of Vishing, Extortion Campaign Targeting Salesforce Customers
Fonte: SecurityWeek
Link: https://www.securityweek.com/google-warns-of-vishing-extortion-campaign-targeting-salesforce-customers/ - Título: Salesforce App Hijacked by Hackers: Google Reveals Data Exfiltration Exploit
Fonte: Salesforce Ben
Link: https://www.salesforceben.com/salesforce-app-hijacked-by-hackers-google-reveals-data-exfiltration-exploit/ - Título: Google Exposes Vishing Group UNC6040 Targeting Salesforce with Fake Data Loader App
Fonte: The Hacker News
Link: https://thehackernews.com/2025/06/google-exposes-vishing-group-unc6040.html - Título: Golpe usa engenharia social para roubar dados do Salesforce
Fonte: SegInfo
Link: https://seginfo.com.br/2025/06/09/golpe-por-telefone-usa-engenharia-social-para-roubar-dados-do-salesforce-saiba-como-se-proteger/ - Título: APT Hackers Steals Salesforce data By connect the victims with Malicous App
Fonte: CyberPress
Link: https://cyberpress.org/apt-hackers-steals-salesforce-data/ - Título: Voice Phishing and Data Extortion in the Salesforce Cloud
Fonte: COE Security
Link: https://coesecurity.com/voice-phishing-and-data-extortion-in-the-salesforce-cloud/ - Título: Salesforce Data Extortion Campaigns: UNC6040’s Vishing Tactics and Mitigation Strategies
Fonte: Red-Team News
Link: https://redteamnews.com/threat-intelligence/salesforce-data-extortion-campaigns-unc6040s-vishing-tactics-and-mitigation-strategies/ - Título: When CRM Becomes a Cybersecurity Target: ShinyHunters Behind Salesforce Data Theft at Allianz Life
Fonte: BigFishTec
Link: https://www.bigfishtec.com/news/1-271-When-CRM-Becomes-a-Cybersecurity-Target%3A-ShinyHunters-Behind-Salesforce-Data-Theft-at-Allianz-Life - Título: ShinyHunters: Salesforce Data Theft Attacks on Qantas, Allianz Life, LVMH
Fonte: NewsyList
Link: https://www.newsylist.com/shinyhunters-salesforce-data-theft-attacks-on-qantas-allianz-life-lvmh/