# Salesforce Data Exfiltration ## Descrição A campanha Salesforce Data Exfiltration teve início em outubro de 2024 com o ator de ameaça de motivação financeira UNC6040 utilizando vishing (spearphishing por voz) para comprometer instâncias corporativas do Salesforce CRM em larga escala com objetivo de roubo de dados e extorsão. O modus operandi envolvia ligar para funcionários de suporte técnico se passando por administradores de sistema, convencendo-os a fornecer credenciais ou criar acessos temporários - engenharia social por telefone como vetor inicial altamente eficaz. Após comprometer as instâncias Salesforce, os atores extraíam dados de CRM via API Python ([[t1059-006-python|T1059.006]]) e integrações cloud ([[t1671-cloud-application-integration|T1671]]), utilizando Tor e proxies multicamada ([[t1090-003-multi-hop-proxy|T1090.003]]) para anonimizar o tráfego de exfiltração ([[t1567-exfiltration-over-web-service|T1567]]). A exfiltração automatizada ([[t1020-automated-exfiltration|T1020]]) possibilitou roubo rápido de grandes volumes de dados de clientes, contratos e oportunidades de negócio. Após o roubo, vítimas receberam demandas de extorsão de um ator separado - UNC6240, se apresentando como o grupo “ShinyHunters” - criando separação operacional entre comprometimento e extorsão. Os TTPs da campanha se sobrepõem a atores associados ao coletivo “The Com”, porém as sobreposições podem representar compartilhamento de técnicas em comunidades criminais ao invés de uma única organização. ## Impacto A campanha expôs dados de CRM sensíveis - informações de clientes, contratos, oportunidades de negócio e dados pessoais armazenados no Salesforce - de múltiplas organizações globalmente. O Salesforce é a plataforma de CRM mais utilizada globalmente, tornando qualquer técnica eficaz de comprometimento de instâncias Salesforce de alto impacto potencial. ## Relevância LATAM/Brasil O Salesforce é amplamente adotado por grandes empresas brasileiras dos setores financeiro, de tecnologia e varejo. O vetor de vishing (engenharia social por telefone) é particularmente eficaz em contextos onde verificação de identidade por telefone é menos rigorosa. Equipes de suporte técnico e help desk de organizações brasileiras que utilizam Salesforce devem ter procedimentos rigorosos de verificação de identidade e nunca fornecer credenciais por telefone, independentemente do nível de sofisticação do solicitante. ## Técnicas Utilizadas - [[t1608-005-link-target|T1608.005 - Link Target]] - [[t1059-006-python|T1059.006 - Python]] - [[t1213-004-customer-relationship-management-software|T1213.004 - Customer Relationship Management Software]] - [[t1671-cloud-application-integration|T1671 - Cloud Application Integration]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1090-proxy|T1090 - Proxy]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1585-establish-accounts|T1585 - Establish Accounts]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] ## Software Utilizado - [[s0183-tor|Tor]] --- --- *Fonte: [MITRE ATT&CK - C0059](https://attack.mitre.org/campaigns/C0059)* *Fonte: Google Cloud / Mandiant - "UNC6040: Salesforce CRM Data Exfiltration Campaign" (2025)*