Palo Alto Networks sufrió una violación de datos que expuso los datos de los clientes y los casos de soporte después de que los atacantes abusaron de los tokens OAuth comprometidos de la violación de la deriva de SalesLoft para acceder a su instancia de Salesforce.
La compañía afirma que fue una de los cientos de compañías afectadas por un Ataque de cadena de suministro revelado la semana pasadaen el cual los actores de amenaza explotaron los tokens de autenticación para robar datos.
BleepingComputer se enteró de la violación de este fin de semana de los clientes de Palo Alto Networks, quienes expresaron su preocupación de que la infracción expuesta de información confidencial, como información y contraseñas de TI, se compartiera en boletos de soporte.
Palo Alto Networks luego confirmó a BleepingComputer que el incidente se limitó a su Salesforce CRM y no afectó ningún producto, sistema o servicios.
«Palo Alto Networks confirma que fue uno de los cientos de clientes afectados por el ataque generalizado de la cadena de suministro que se dirige a la aplicación SalesLoft Drift que expuso los datos de Salesforce», dijo Palo Alto Networks a BleepingComuter.
«Rápidamente contenimos el incidente y deshabilitamos la aplicación de nuestro entorno Salesforce. Nuestra investigación de la Unidad 42 confirma que esta situación no afectó a ningún producto, sistemas o servicios de Palo Alto Reds».
«El atacante extrajo principalmente el contacto comercial y la información relacionada de la cuenta, junto con los registros de la cuenta de ventas internas y los datos básicos de casos. Estamos en el proceso de notificar directamente a cualquier cliente afectado».
La campaña, rastreado por el equipo de inteligencia de amenazas de Google como UNC6395Casos de soporte específicamente dirigidos para identificar datos confidenciales, como tokens de autenticación, contraseñas y secretos en la nube, que podrían usarse para pivotar en otros servicios en la nube y robar datos.
«Nuestras observaciones indican que el actor de amenaza realizó la exfiltración masiva de datos confidenciales de varios objetos de Salesforce, incluidos los registros de cuentas, contacto, casos y oportunidades», advirtió Palo Alto Networks en un aviso compartido con BleepingComuter.
«Después de la exfiltración, el actor parecía estar escaneando activamente los datos adquiridos para credenciales, probablemente con la intención de facilitar más ataques o expandir su acceso. Hemos observado que el actor de amenaza deletó consultas para ocultar evidencia de los trabajos que ejecutan, probablemente como una técnica anti-forense.
Palo Alto Networks informa que los atacantes estaban buscando secretos, incluidas las claves de acceso de AWS (AKIA), las tokens de copo de nieve, las cadenas de inicio de sesión de VPN y SSO, y palabras clave genéricas como «contraseña», «secreto» o «clave».
Estas credenciales podrían usarse para violar plataformas en la nube adicionales para robar datos para ataques de extorsión.
En un informe anterior de Google y un nuevo Breve de amenaza de Palo Alto Networks Digamos que los actores de amenaza usan herramientas automatizadas para robar datos, con cadenas de agentes de usuario que indican que algunas son herramientas personalizadas:
python-requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-Multi-Org-Fetcher/1.0
Salesforce-CLI/1.0
Como parte de estos ataques, los actores amenazados se extendieron en masa los datos de los objetos de la cuenta, contacto, casos y ventas de oportunidades.
Para evadir la detección, los actores de amenaza eliminaron los registros y usaron Tor para ofuscar su origen.
Palo Alto Networks afirma que ha revocado los tokens asociados y ha girado las credenciales después del incidente.
Palto Alto Networks, Salesforce y Google ahora han deshabilitado las integraciones de deriva, mientras que la investigación sobre cómo se robaron los tokens OAuth.
El ataque de la cadena de suministro ha impactado a otras compañías, incluida ZSCALER y Google.
Ataques de robo de datos de Salesforce
Desde el comienzo del año, Salesforce ha sido el objetivo de los ataques de robo de datos Realizado por miembros asociados con el grupo de extorsión Shinyhunters.
En los ataques pasados, los actores de amenaza realizaron Phishing de voz (Vishing) para engañar a los empleados para que vinculen una aplicación Maliciosa de OAuth con las instancias de Salesforce de su empresa.
Una vez vinculados, los actores de amenaza utilizaron la conexión para descargar y robar las bases de datos, que luego se utilizaron para extorsionar a la empresa por correo electrónico.
Sin embargo, con la violación de SalesLoft, los actores de amenaza pudieron robar datos utilizando los tokens Oauth robados.
Desde Google informó por primera vez los ataques En junio, se han vinculado numerosas violaciones de datos con los ataques de ingeniería social, incluidos Google mismo, Cisco, Seguro de agricultores, Jornada laboral, Adidas, Qantas, Allianz Lifey las subsidiarias LVMH Louis Vuitton, Diory Tiffany & Co.
Mientras que algunos investigadores le han dicho a BleepingComputer que creen que los ataques de la cadena de suministro de SalesLoft involucran a los mismos actores de amenaza, Google dice que no hay evidencia concluyente de que estén vinculados.
«No hemos visto ninguna evidencia convincente que los conecte en este momento», Austin Larsen, analista principal de amenazas. Google Threat Intelligence Group, dijo a BleepingComputer.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
