Googleは、UNC6395と特定された脅威グループが、組織のSalesforceインスタンスを対象とした一連のデータ侵害を実施していることを明らかにしました。この違反は、SalesLoft Driftのサードパーティアプリケーションに関連付けられたOAUTHトークンを妥協することにより促進されました。このアクティビティは、Salesforce環境をターゲットにしたShinyhuntersに起因する以前のVishing攻撃とは異なるようです。
Google Threat Intelligence Group(GTIG)は、UNC6395が8月8日頃から「広範囲にわたるデータ盗難」キャンペーンを開始し、少なくとも8月18日まで継続したと報告しました。脅威アクターは、Salesloft Driftアプリケーション内の認証トークンを利用しました。
GTIGによると、UNC6395は「多数の企業Salesforceインスタンスから大量のデータを体系的にエクスポートしました。」主な目的は、Amazon Web Services(AWS)アクセスキー(AKIA)、パスワード、スノーフレーク関連のアクセストークンなど、敏感な資格情報を収穫することでした。
GTIGのブログ投稿では、データを抽出した後、「俳優はデータを検索して、犠牲者の環境を妥協するために潜在的に使用できる秘密を探す」ことを詳述しました。彼らの活動を隠すために、脅威関係者はクエリジョブを削除しました。
ログが直接影響を受けたという兆候はありませんが、GTIGは組織に「データ曝露の証拠について関連するログを確認する」ように助言します。
キャンペーンの範囲は、ソリューションをSalesforceと統合するSalesLoftのお客様に限定されています。 GTIGは、Google Cloudの顧客が直接影響を受けたことを示唆する証拠はないことを明らかにしましたが、SalesLoft Driftを使用している顧客は「Google Cloud Platform ServiceアカウントキーのSalesforceオブジェクトを確認する必要があります」。
GTIGは、「Salesforceと統合されたドリフトを使用する組織は、Salesforceデータが侵害されていると考えるべきであり、即時の修復措置を講じることを求められるべきだ」と強調しました。
SalesLoftは、Salesforceと協力して、ドリフトアプリケーションに関連するすべてのアクティブアクセスと更新トークンを取り消すことにより、状況に対処しました。 Salesforceは、「さらに通知とさらなる調査が保留されるまで、Salesforce Appexchangeからドリフトアプリケーションを削除しました。 GTIG、Salesforce、およびSalesLoftには、すべての影響を受けた組織に通知しています。
GTIGレポートは、アディダス、パンドラ、アリアンツ、ティファニー&カンパニー、ディオール、ルイヴィトン、ワークデイ、およびGoogleなどの複数の著名な企業からの開示に続いています。 Shinyhuntersはこれらの攻撃の多くに対して責任を主張し、Vishing攻撃は妥協の方法として特定されています。
6月、Googleは、財政的に動機付けられた脅威グループであるUNC6040(Shinyhuntersに関連すると言われる)が、組織のSalesforce環境に侵入するための攻撃攻撃にITサポートスタッフになりすましていると報告しました。 8月の初めに、Googleは、UNC6040がこれらの戦術を使用してSalesforceインスタンスの1つに違反したことを明らかにしました。
これらのSalesforce侵害のいくつかのタイムラインはGTIGの調査結果と一致していますが、妥協の方法は異なります。 Googleは、UNC6395 SalesLoftドリフトアクティビティは、UNC6040に起因するヴィッシング攻撃とは異なると述べました。 GTIGのスポークスマンは、「それらを結びつける説得力のある証拠を見ていない」と確認した。
GTIGは、ディフェンダーに推奨事項を提供し、影響を与えた組織にセールスフォースオブジェクト内の機密情報と秘密を検索し、APIキーの取り消し、資格情報の回転、UNC6395によって秘密が悪用されたかどうかを判断するなどの適切なアクションを実行するようにアドバイスします。
組織はまた、Mandiantブログ投稿の妥協セクションのインジケーターでGTIGが提供するIPアドレスとユーザーエージェント文字列を検索することにより、妥協とスキャンの妥協とスキャンを調査する必要があります。また、「TOR出口ノードから発生するアクティビティのより広範な検索」を実装することもお勧めします。
追加の緩和手順には、ドリフト接続ユーザーにリンクされた異常なアクティビティのSalesforceイベント監視ログのレビュー、ドリフト接続アプリからの認証アクティビティ、およびSOQLクエリを実行した一意のクエリイベントが含まれます。
Googleはまた、組織がSalesforceサポートケースを開いて、脅威アクターが使用する特定のクエリを取得し、潜在的な秘密をSalesforceオブジェクトを検索することを提案しています。また、発見されたキーや秘密をすぐに取り消して回転させ、パスワードをリセットし、セッション設定でセッションタイムアウト値を構成して、妥協したセッションの寿命を制限することにより、資格情報を回転させる必要があります。
Googleはさらに、アプリケーションに必要な許可が最小になるようにし、接続されたアプリのIP制限を実施し、信頼できるネットワークからのみアクセスできるようにログインIP範囲を定義することにより、アクセス制御を強化することを推奨しました。
